Phát hiện lỗ hổng Zero-day thực thi mã từ xa trên Joomla

Các nhà nghiên cứu bảo mật Sucuri đã phát hiện ra các cuộc tấn công lợi dụng lỗ hổng Zero-day thực thi mã từ xa trên hệ quản trị nội dung Joomla. Quản trị viên cần cập nhật phiên bản Joomla càng sớm càng tốt.

Phát hiện lỗ hổng Zero-day thực thi mã từ xa trên Joomla - Tạp Chí Designer Việt Nam

Bản vá được đăng tải vào thứ Hai, nhưng trước đó vài ngày, Sucuri đã phát hiện ra các cuộc tấn công khai thác lỗ hổng trong thực tế. Lỗ hổng liên quan đến tiêm nhiễm đối tượng thông qua HTTP user agent dẫn tới toàn quyền thực thi lệnh từ xa. Lỗ hổng ảnh hưởng đến tất cả các phiên bản Joomla từ 1.5 đến 3.4. Các phiên bản cũ từ 2.5 trở xuống bị ngừng hỗ trợ cũng được tung bản vá.

Khai thác sử dụng điểm yếu bảo mật để chèn đoạn code dưới đây vào cơ sở dữ liệu:

Đây là backdoor để thực thi bất kì PHP code nào thông qua lệnh POST với biến 111. Các cuộc tấn công được Sucuri phát hiện bắt nguồn từ địa chỉ IP 74[.]3[.]170[.]33, 146[.]0[.]72[.]83 và 194[.]28[.]174[.]106, tấn công hàng trang trang sử dụng Joomla.

Sucuri khuyến cáo sử dụng bộ lọc log với địa chỉ IP trên hoặc tìm kiếm “JDatabaseDriverMysqli” hoặc“O:” trong User Agent. Nếu tìm thấy, bạn cần xem xét xử lý sự cố trên website của mình.

Theo: Threatpost

Bạn cũng có thể thích Thêm từ tác giả

Chúng tôi đang chuyển sang sử dụng phiên bản mớiXem Ngay Tại izdesigner.org