XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > XƏBƏRDARLIQ! Joomla-da kritik 0-day boşluq aşkar olundu.

16 Dek 2015

 14 dekabr tarixində Joomla-nın proqramçılardan ibarət qrupu 3.4.6 versiyasında kritik 0-day boşluğu aradan qaldıran təcili yenilənməni buraxdılar. Belə ki, bu boşluq xakerlərə məsafəli kod icrasını həyata keçirmək imkanı verirdi. Hal-hazırda da xakerlər boşluq olan saytlara silsilə hücumlar edirlər.Sucuri şirkətinin məlumatlarına əsasən şəbəkədə 0-day boşluğa məruz qalmış və sistemlərin çökdürülməsini hədəfə götürmüş intensiv avtomatlaşdırılmış hücum qeydə alınmışdır. Bir neçə honeypot sistemləri işə salındıqdan sonra 1 saat ərzində dəfələrlə müdaxiləyə cəhdlər qeydə alınmışdır və buna görə də yenilənmədən sonra sisteminizi bir daha analiz etməyiniz tövsiyyə olunur. Eksploitin ilk loqu bu cür görünürdü:

2015 Dec 12 16:49:07 clienyhidden.access.log
Src IP: 74.3.170.33 / CAN / Alberta
74.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1″ 403 5322 “http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: ..
{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:..
{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:..

Joomla-da proqramçının kod sessiyasında belə bir boşluq mövcuddur, hansı ki, HTTP başlıqların User-Agent və X-Forwarded-For sessiyaları vasitəsilə sintaksisə kod sətiri yeridilməsini həyata keçirir. Eksploit MySql –in U+010000 — U+10FFFF diapazonunda utf8 simvollarının emalından istifadə edir. Sonunda bu cür simvol mövcud olan sətri daxil edərkən MySql həmin məlumatları kəsəcəkdir. Verilənlərin kəsilməməsi üçün isə MySql –də utf8mb4 kodlaşdırmasından istifadə etmək lazımdır. Apache server üçün konfiqurasiyanın nümunəsi:

RewriteCond %{HTTP_USER_AGENT} .*\{.* [NC]
RewriteRule .* - [F,L]

Məlumat üçün bildiririk ki, aşkar olunan hücumlar aşağıdakı tarixdə və İP ünvanlardan həyata keçirilib:

12 dekabr - 74.3.170.33
13 dekabr - 146.0.72.83
14 dekabr - 194.28.174.106

Qeyd edək ki, 0-day boşluq Joomla-nın 1.5 versiyasında 3.4.5 versiyası daxil olmaqla yayılıb.

Kompüter İnsidentlərinə qarşı Mübarizə Mərkəzi istehsalçının saytından 3.4.6 –nın son versiyasını quraşdırmağı tövsiyyə edir.

 

© Bütün hüquqlar qorunur. Xəbərlərdən istifadə edərkən www.cert.gov.az saytına istinad zəruridir.