حمله‌ی روزانه‌ی ۱۶۰۰۰ نفوذگر به کارگزار آسیب‌پذیر جوملا

شرکت سیمنتک روزانه تا ۲۰۰۰۰۰ تلاش برای حمله را کشف کرده است که قصد رخنه به برنامه‌ی آسیب‌پذیر جوملا که به تازگی بازسازی شده است را داشته‌اند. این برنامه می‌تواند به عنوان یک وسیله‌ی نفوذ برای اجرای کدها عمل کند.
این برنامه با عنوان as CVE-۲۰۱۵-۸۵۶۲ با انتشار نسخه‌ی جدید جوملا ۳.۴.۶ و تعمیر اساسی نسخه‌های ۱.۵ و ۲.۵ در نیمه‌ی ماه دسامبر این برنامه را بازسازی کردند. اولین حمله برای سوءاستفاده از این نقص که بر روی نسخه‌ی جوملا ۱.۵.۰ از طریق نسخه‌ی ۳.۴.۵ انجام گرفت، دو روز قبل از انجام این بازیابی‌ها توسط توسعه‌دهندگان برنامه‌ی محبوب سامانه‌ی مدیریت محتوا (CMS) صورت گرفت.
شرکت سیمنتک بر روی این تلاش‌ها برای حمله، نظارت و آن‌ها را شناسایی کرده است، و از زمانی که این نقص آشکار شد، به طور میانگین روزانه ۱۶۰۰۰ تلاش برای حمله صورت گرفته است. نفوذگرها می‌توانند به حفره‌ی امنیتی جوملا رخنه کرده و کارگزارها را نفوذ کرده و از آن‌ها برای میزبانی بدافزارها و دیگر فعالیت‌های مخرب استفاده کنند. این نفوذگرها هم چنین می‌توانند این دسترسی به کارگزارهای مورد نظر را در بازارهای زیر زمینی فروخته و به دیگران اجازه‌ی حمله‌ی انسداد سرویس را نیز بدهد. برخی از این دستگاه‌های نفوذ شده ممکن است حاوی اطلاعات با ارزشی باشند.
شرکت سیمنتک گزارش داد که از کارگزارهای آلوده برای تغییر مسیر قربانیان به سمت بسته‌های نفوذی و احتمالاً به سمت میزبانی بدافزارها استفاده می‌شود. این آسیب‌پذیری جوملا که مورد هدف نفوذگرها قرار گرفته است باعث فقدان فیلترینگ مناسب هنگام ذخیره‌ی داده‌های مرورگر در پایگاه داده‌ها می‌شود.
Sucuri در یک پست در وبلاگی جزییات این نقص و چگونگی سوءاستفاده از آن را گزارش داده است.
بر اساس گفته‌ی محققان، عاملان مخرب با ارسال درخواست‌های HTML و بررسی پاسخ‌های دریافتی که هنگام اجرای دستورالعمل‌هایی مانند asphpinfo() و eval اجرا می ‌شوند، سعی در شناسایی کارگزارهای آسیب‌پذیر دارند. هنگامی که یک کارگزار آسیب‌پذیر شناسایی می‌شود نفوذگرها با نصب در پشتی بر روی آن می‌توانند دستورالعمل‌هایی را اجرا، پرونده هایی را بارگیری یا بارگذاری کرده و وب‌گاه‌هایی که کارگزار میزبانی می‌کند را تغییر دهند.
مدیران می‌توانند دسترسی‌های وب را برای درخواست‌های مشکوک بررسی کنند و اگر تا قبل از تعمیر و بازسازی نصب جوملا درخواست‌های مخربی ارسال شده باشد، مدیر باید فرض را بر این بگذارد که سامانه مورد رخنه واقع شده است.
در اواسط ماه نوامبر سیمنتک گزارش داد که عاملان مخرب روزانه هزاران درخواست را می‌فرستند تا کارگزارهای vBulletin را بیابند که توسط یک بازسازی آسیب‌پذیر در دوم نوامبر آلوده شده‌اند.
این شرکت امنیتی گزارش داد روش‌هایی که نفوذگرها برای یافتن نصب‌های آسیب‌پذیر vBullrin استفاده کرده‌اند شبیه به روش‌هایی است که اکنون علیه کارگزارهای جوملا استفاده کرده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap