Symantec ընկերությունը օրեկան ավելի քան 20,000 հարձակման փորձ է հայտնաբերել, որոնք փորձում են օգտվել Joomla-ի կոդում վերջերս վերացված (source patch) խոցելիությունից, որը թույլ է տալիս հեռակա կոդ աշխատացնել (remote code execution) սերվերի մասում:
Խոցելիությունը, որը ստացել է «CVE-2015-8562» համարը, Joomla-ի կոդում վերացվել է դեկտեմբերի կեսին՝ 3.4.6 համարի հերթական թողարկան (release), և նախորդ 1.5 և 2.5 համարի թողարկումների (version) համար նախատեսված թարմացումների (hotfix) տեսքով: Հարձակման առաջին փորձը նկատվել է ծրագրի պաշտոնական թարմացումից երկու օր առաջ: Այդ օրվանից հաշված օրեկան հարցումների քանակը, ըստ Symantec ընկերության տեղեկությունների, միջին հաշվով կազմել է 16,000 հարցում:
Joomla-ի անվտանգության բացթողման պատճառով չարագործները կարող են կոտրել Ձեր սերվերները՝ վնասակար ծրագրեր տեղադրելու և այլ վտանգավոր գործունեության նպատակներով: Բացի այդ, նրանք կարող են խոցված սերվերների մուտքը վաճառել «սև շուկայում»՝ թույլ տալով օգտագործել դրանք որպես «ծառայության բաշխված մերժում» (DDoS) հարձակման օղակ կամ գաղտնի տեղեկություններ ստանալու աղբյուր:
Symantec-ն իր զեկույցում նշել է, որ նկատել է այնպիսի սերվերներ, որոնք հավանաբար պարունակում են վնասակար ծրագրեր և օգտագործվում են «զոհերին» (victim) վնասակար հասցեներով ուղեկցելու նպատակով:
Joomla-ի խոցելիության հիմքում տվյալների ճիշտ զտման (filter) բացակայությունն է, որը վեբ-դիտարկչի սեսիայի արժեքը տվյալների բազայում պահպանելիս սխալ է կազմակերպված: Sucuri ընկերությունը նույնպես անրադարձել է այս խնդրին և իրենց բլոգում հրապարակել մանրամասներ, թե ինչպես կարելի է օգտվել այս խոցելիությունից:
Հետազոտողների խոսքերով, չարագործները փորձել են գտնել սերվերներից որոնք են խոցելի՝ վերլուծելով սերվերներին ուղարկած այնպիսի հարցումներ (HTTP request), որոնք սերվերի մասում փորձում են աշխատացնել այնպիսի ֆունկցիաներ, ինչպիսիք են phpinfo()-ն և eval(chr())-ը:
Խոցելի սերվեր հայտնաբերելուն պես, չարագործները հետին մուտք (backdoor) են թողնում սերվերի վրա, ինչը նրանց թույլ կտա աշխատացնել հրամաններ, վերբեռնել և ներբեռնել ֆայլեր, կամ փոփոխություն անել այդ սերվերում տեղադրված վեբ-կայքի վրա:
Ամեն դեպքում, սերվերների տեխնիկական պատասխանատուներին խորհուրդ է տրվում պարբերաբար վերլուծել «access log» ֆայլի պարունակությունը և ձեռք բերել Joomla-ի վերջին թարմացումները՝ հարձակման հերթական զոհ չդառնալու նպատակով:
.png){kind=small}
