Aktívne zneužívaná RCE zraniteľnosť v Joomla!

Dňa 13.12.2015 bola vydaná nová verzia populárneho CMS Joomla! Táto verzia opravuje kritickú zraniteľnosť vedúcu k vzdialenému spusteniu kódu (RCE) CVE-2015-8562. Na zraniteľnosť upozornila spoloťnosť Sucuri na svojom blogu.

Zraniteľné sú všetky verzie od 1.5.0 až po 3.4.5.

Upozorňujeme, že daná zraniteľnosť je už aktívne zneužívaná minimálne od 11.12.2015, teda dva dni pred zverejnením záplat. Ak patríte medzi prevádzkovateľov Joomla, odporúčame ihneď aktualizovať Joomla na opravenú verziu 3.4.6. Pre už nepodporované (EOL) verzie sú dostupné záplaty.

Vzor modifikovanej požiadavky, zneužívajúcej danú zraniteľnosť:

74.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1″ 403 5322 “http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: .. {s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:.. {s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:..

Zoznam IP adries aktuálne zneužívajúcich danú zraniteľnosť:

• 146.0.72.83
• 74.3.170.33
• 194.28.174.106
• 35.0.127.52

Vzhľadom na tieto skutočnosti vám odporúčame váš webserver prehľadať na možné známky prieniku a okamžite aktualizovať Joomla na verziu 3.4.6.

Zdroj: Sucuri