Закрыть Авторизация

     

Хакеры взламывают необновленные сайты на Joomla!

Если вы не обновились - возможно, вы уже взломаны.

joomla hack

Злоумышленники уже во всю эксплуатируют опасную дыру в CMS Joomla!, исправленную в версии Joomla! 3.6.4, позволяющую создавать привилегированный аккаунт (аккаунт с правами администратора) Joomla. Попытки создать таких пользователей проведены уже на 30 000 сайтов в течение нескольких дней после того как вышло исправление ошибки.

Уязвимость, которая позволяет любому пользователю создавать привилегированные учетные записи на Joomla! сайтах, впервые была найдена в одной из предрелизных версий Joomla. В связи с этим и была выпущена последняя версия Joomla (3.6.4).

Предполагалось, что данная уязвимость не будет эксплуатироваться в ближайшие дни и недели, в то время, пока злоумышленники будут разрабатывать способ взлома сайтов с данной уязвимостью.

Однако эти атаки возникли быстрее, чем прогнозировали специалисты.

Аналитик Sucuri Даниэль Сид говорит, что нападения началась уже через три дня после того, как вышел патч. И эти атаки настолько велики, что любой сайт, который не применил патч, скорее всего, в настоящее время под угрозой.

"Менее чем через 24 часа после первоначального сообщения об выходе обновления, мы начали видеть тесты и небольшие пинги на некоторых из наших приманок. Кто-то пытался проверить, существовала ли эта уязвимость", - говорит Сид, добавляя что нападавшие безуспешно пытались воспользоваться ошибкой на каждом сайте Joomla в сети Sucuri.

 

"Менее чем через 36 часов после первоначального раскрытия бага, мы начали видеть массу попыток использования в Интернете".

"На самом деле, количество растет, и мы убеждены, что любой сайт Joomla!, который не был обновлен, скорее всего, уже мог быть взломан".

 

1

Количество использований уязвимости по дням.

Сид и его коллеги смогли перепроектировать патч в течение "нескольких часов", создав внутренний инструмент, который может использовать уязвимости (CVE-2016-8870, CVE-2016-8869) и загружать бэкдоры на пораженные места.

Предположительно, в зоне риска находятся сайты на Joomla, начиная с версии 3.4.4 до версии 3.6.3.

По его словам, злоумышленники начали сразу же использовать задачи user.register и создавать несанкционированных пользователей. 

Через несколько часов после выхода обновления Joomla, IP - адреса из Румынии и Латвии начали массовые сканирования тысячи сайтов, пытаясь создать пользователя db_cfg.

Joomla! в настоящий момент загружена более 75 миллионов раз и работает на больших и известных сайтах, включая McDonalds, Ikea, General Electric, Linux.com и крупных новостных сайтах.

 

"Если вы до сих пор не обновили свой сайт Joomla, вы, вероятно, уже взломаны", - говорит Сид.

Инженер также опубликовал индикаторы того, что сайт был взломан через данный баг.

Подпишись!