سوء‌استفاده از آسیب‌پذیری جدید جوملا در سطح گسترده

به گزارش سافت گذر به نقل از آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات)، به‌تازگی یک به‌روز‌رسانی برای سامانه‌ی مدیریت محتوای جوملا عرضه شده است که آسیب‌پذیریِ روز-صفرم این سامانه را وصله می‌کند. آسیب‌پذیری مذکور قبل از وصله شدن توسط نفوذگران شناسایی و مورد استفاده قرار گرفته است.

آسیب‌پذیریِ روز-صفرم جوملا مربوط به تزریق شیء یا Object Injection از راه موتور HTTP است که در نهایت برای مهاجم امکان دست‌رسی کامل از راه دور را فراهم می‌کند. پژوهش‌گران آزمایشگاه امنیتیِ Sucuri موفق به شناسایی این آسیب‌پذیری شده‌اند.

این آسیب‌پذیری نسخه‌های ۱٫۵ تا ۳٫۴ جوملا را تحت تاثیر قرار می‌دهد و وصله‌ای که توسعه‌دهندگان برای این آسیب‌پذیری منتشر کرده‌اند از روز دوشنبه در دسترس است.

البته به‌روز‌رسانی شامل انتشار نسخه‌ی جدیدی از جوملا است و کاربرانی که نمی‌خواهند به نسخه‌ی جدید مهاجرت کنند، می‌توانند از راهنمایی‌هایی که توسط جوملا ارائه شده است استفاده کنند و این آسیب‌پذیری را به صورت دستی وصله نمایند. عدم ارائه‌ی وصله برای نسخه‌های قدیمی‌تر به این دلیل است که نسخه‌هایی مانند ۲٫۵ دیگر توسط جامعه‌ی جوملا پشتیبانی نمی‌شود.

حملاتی که علیه این آسیب‌پذیری مشاهده شده است از روز شنبه و با آدرس آی‌پی ۷۴[.]۳[.]۱۷۰[.]۳۳ آغاز شده و در روز یکشنبه دو آدرس آی‌پی دیگر به صورت ۱۴۶[.]۰[.]۷۲[.]۸۳ و ۱۹۴[.]۲۸[.]۱۷۴[.]۱۰۶ در حملات مشاهده شده است. گستره‌ی این حملات در ابتدا چند وب‌گاه در ساعت بود که در روز یکشنبه با اضافه شدن آدرس‌های آی‌پی مذکور، گسترش پیدا کرد و شامل پویش همه‌ی وب‌گاه‌های جوملا شد.

به نظر می‌رسد آدرس‌های آی‌پی مربوط به حملات با یکدیگر ارتباط نداشته‌اند و در عمل به این دلیل که نفوذگران در پی اثبات قدرت خود بودند و برای این‌که نشان دهند کدام یک از آن‌ها سریع‌تر هستند، تعداد وب‌گاه‌های بیش‌تری را مورد حمله قرار داده‌اند.

به پیشنهاد Succuri مسدود کردن آدرس‌های آ‌ی‌پی معرفی‌شده اولین گام مبارزه با این مهاجمان است.

این دومین آسیب‌پذیری جوملا است که به محض شناسایی به صورت گسترده‌ای توسط مجرمان سایبری مورد استفاده قرار گرفته است. دو ماه پیش یک آسیب‌پذیری تزریق SQL در جوملا کشف شده بود که در عرض کمتر از چند ساعت مجرمان سایبری موفق به سوء‌استفاده از آسیب‌پذیری شده و کنترل کامل دو وب‌گاه مهم را که بر پایه‌ی جوملا توسعه پیدا کرده‌ بودند به دست گرفتند.

در حال حاضر اولین توصیه‌ی به دارندگان وب‌گاه‌های جوملا، مسدود کردن آدرس‌های آ‌ی‌پی معرفی شده و سپس به‌روز‌رسانی وب‌گاه است.

هم‌چنین توصیه می‌شود از آن‌جایی که بسیاری از نسخه‌های قدیمی جوملا دیگر پشتیبانی نمی‌شوند، در صورتی که از این نسخه‌ها استفاده می‌کنید در اولین فرصت به نسخه‌های جدید مهاجرت کنید.

منبع: ThreatPost/asis