سوءاستفاده از آسیبپذیری جدید جوملا در سطح گسترده
ارسال شده: شنبه دسامبر 19, 2015 9:42 am
به گزارش سافت گذر به نقل از آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات)، بهتازگی یک بهروزرسانی برای سامانهی مدیریت محتوای جوملا عرضه شده است که آسیبپذیریِ روز-صفرم این سامانه را وصله میکند. آسیبپذیری مذکور قبل از وصله شدن توسط نفوذگران شناسایی و مورد استفاده قرار گرفته است.
آسیبپذیریِ روز-صفرم جوملا مربوط به تزریق شیء یا Object Injection از راه موتور HTTP است که در نهایت برای مهاجم امکان دسترسی کامل از راه دور را فراهم میکند. پژوهشگران آزمایشگاه امنیتیِ Sucuri موفق به شناسایی این آسیبپذیری شدهاند.
این آسیبپذیری نسخههای ۱٫۵ تا ۳٫۴ جوملا را تحت تاثیر قرار میدهد و وصلهای که توسعهدهندگان برای این آسیبپذیری منتشر کردهاند از روز دوشنبه در دسترس است.
البته بهروزرسانی شامل انتشار نسخهی جدیدی از جوملا است و کاربرانی که نمیخواهند به نسخهی جدید مهاجرت کنند، میتوانند از راهنماییهایی که توسط جوملا ارائه شده است استفاده کنند و این آسیبپذیری را به صورت دستی وصله نمایند. عدم ارائهی وصله برای نسخههای قدیمیتر به این دلیل است که نسخههایی مانند ۲٫۵ دیگر توسط جامعهی جوملا پشتیبانی نمیشود.
حملاتی که علیه این آسیبپذیری مشاهده شده است از روز شنبه و با آدرس آیپی ۷۴[.]۳[.]۱۷۰[.]۳۳ آغاز شده و در روز یکشنبه دو آدرس آیپی دیگر به صورت ۱۴۶[.]۰[.]۷۲[.]۸۳ و ۱۹۴[.]۲۸[.]۱۷۴[.]۱۰۶ در حملات مشاهده شده است. گسترهی این حملات در ابتدا چند وبگاه در ساعت بود که در روز یکشنبه با اضافه شدن آدرسهای آیپی مذکور، گسترش پیدا کرد و شامل پویش همهی وبگاههای جوملا شد.
به نظر میرسد آدرسهای آیپی مربوط به حملات با یکدیگر ارتباط نداشتهاند و در عمل به این دلیل که نفوذگران در پی اثبات قدرت خود بودند و برای اینکه نشان دهند کدام یک از آنها سریعتر هستند، تعداد وبگاههای بیشتری را مورد حمله قرار دادهاند.
به پیشنهاد Succuri مسدود کردن آدرسهای آیپی معرفیشده اولین گام مبارزه با این مهاجمان است.
این دومین آسیبپذیری جوملا است که به محض شناسایی به صورت گستردهای توسط مجرمان سایبری مورد استفاده قرار گرفته است. دو ماه پیش یک آسیبپذیری تزریق SQL در جوملا کشف شده بود که در عرض کمتر از چند ساعت مجرمان سایبری موفق به سوءاستفاده از آسیبپذیری شده و کنترل کامل دو وبگاه مهم را که بر پایهی جوملا توسعه پیدا کرده بودند به دست گرفتند.
در حال حاضر اولین توصیهی به دارندگان وبگاههای جوملا، مسدود کردن آدرسهای آیپی معرفی شده و سپس بهروزرسانی وبگاه است.
همچنین توصیه میشود از آنجایی که بسیاری از نسخههای قدیمی جوملا دیگر پشتیبانی نمیشوند، در صورتی که از این نسخهها استفاده میکنید در اولین فرصت به نسخههای جدید مهاجرت کنید.
منبع: ThreatPost/asis
آسیبپذیریِ روز-صفرم جوملا مربوط به تزریق شیء یا Object Injection از راه موتور HTTP است که در نهایت برای مهاجم امکان دسترسی کامل از راه دور را فراهم میکند. پژوهشگران آزمایشگاه امنیتیِ Sucuri موفق به شناسایی این آسیبپذیری شدهاند.
این آسیبپذیری نسخههای ۱٫۵ تا ۳٫۴ جوملا را تحت تاثیر قرار میدهد و وصلهای که توسعهدهندگان برای این آسیبپذیری منتشر کردهاند از روز دوشنبه در دسترس است.
البته بهروزرسانی شامل انتشار نسخهی جدیدی از جوملا است و کاربرانی که نمیخواهند به نسخهی جدید مهاجرت کنند، میتوانند از راهنماییهایی که توسط جوملا ارائه شده است استفاده کنند و این آسیبپذیری را به صورت دستی وصله نمایند. عدم ارائهی وصله برای نسخههای قدیمیتر به این دلیل است که نسخههایی مانند ۲٫۵ دیگر توسط جامعهی جوملا پشتیبانی نمیشود.
حملاتی که علیه این آسیبپذیری مشاهده شده است از روز شنبه و با آدرس آیپی ۷۴[.]۳[.]۱۷۰[.]۳۳ آغاز شده و در روز یکشنبه دو آدرس آیپی دیگر به صورت ۱۴۶[.]۰[.]۷۲[.]۸۳ و ۱۹۴[.]۲۸[.]۱۷۴[.]۱۰۶ در حملات مشاهده شده است. گسترهی این حملات در ابتدا چند وبگاه در ساعت بود که در روز یکشنبه با اضافه شدن آدرسهای آیپی مذکور، گسترش پیدا کرد و شامل پویش همهی وبگاههای جوملا شد.
به نظر میرسد آدرسهای آیپی مربوط به حملات با یکدیگر ارتباط نداشتهاند و در عمل به این دلیل که نفوذگران در پی اثبات قدرت خود بودند و برای اینکه نشان دهند کدام یک از آنها سریعتر هستند، تعداد وبگاههای بیشتری را مورد حمله قرار دادهاند.
به پیشنهاد Succuri مسدود کردن آدرسهای آیپی معرفیشده اولین گام مبارزه با این مهاجمان است.
این دومین آسیبپذیری جوملا است که به محض شناسایی به صورت گستردهای توسط مجرمان سایبری مورد استفاده قرار گرفته است. دو ماه پیش یک آسیبپذیری تزریق SQL در جوملا کشف شده بود که در عرض کمتر از چند ساعت مجرمان سایبری موفق به سوءاستفاده از آسیبپذیری شده و کنترل کامل دو وبگاه مهم را که بر پایهی جوملا توسعه پیدا کرده بودند به دست گرفتند.
در حال حاضر اولین توصیهی به دارندگان وبگاههای جوملا، مسدود کردن آدرسهای آیپی معرفی شده و سپس بهروزرسانی وبگاه است.
همچنین توصیه میشود از آنجایی که بسیاری از نسخههای قدیمی جوملا دیگر پشتیبانی نمیشوند، در صورتی که از این نسخهها استفاده میکنید در اولین فرصت به نسخههای جدید مهاجرت کنید.
منبع: ThreatPost/asis