Joomla-ի խոցելի սերվերները օրեկան 16,000 հարցակումների ականատեսն են դարձել

samvel-gevorgyan.jpg
Սամվել Գևորգյան
Տնօրեն, «ՍԱՅԲԵՐ ԳԵՅԹՍ»
Լուսաբանում եմ այնպիսի թեմաներ, ինչպիսիք են կիբեր-հանցագործությունը, գաղտնիությունը և անվտանգությունը թվային տեսքով:

Symantec ընկերությունը օրեկան ավելի քան 20,000 հարձակման փորձ է հայտնաբերել, որոնք փորձում են օգտվել Joomla-ի կոդում վերջերս վերացված (source patch) խոցելիությունից, որը թույլ է տալիս հեռակա կոդ աշխատացնել (remote code execution) սերվերի մասում:

Նկարը՝ www.tricountyweb.com

Խոցելիությունը, որը ստացել է «CVE-2015-8562» համարը, Joomla-ի կոդում վերացվել է դեկտեմբերի կեսին՝ 3.4.6 համարի հերթական թողարկան (release), և նախորդ 1.5 և 2.5 համարի թողարկումների (version) համար նախատեսված թարմացումների (hotfix) տեսքով: Հարձակման առաջին փորձը նկատվել է ծրագրի պաշտոնական թարմացումից երկու օր առաջ: Այդ օրվանից հաշված օրեկան հարցումների քանակը, ըստ Symantec ընկերության տեղեկությունների, միջին հաշվով կազմել է 16,000 հարցում:

Joomla-ի անվտանգության բացթողման պատճառով չարագործները կարող են կոտրել Ձեր սերվերները՝ վնասակար ծրագրեր տեղադրելու և այլ վտանգավոր գործունեության նպատակներով: Բացի այդ, նրանք կարող են խոցված սերվերների մուտքը վաճառել «սև շուկայում»՝ թույլ տալով օգտագործել դրանք որպես «ծառայության բաշխված մերժում» (DDoS) հարձակման օղակ կամ գաղտնի տեղեկություններ ստանալու աղբյուր:

Symantec-ն իր զեկույցում նշել է, որ նկատել է այնպիսի սերվերներ, որոնք հավանաբար պարունակում են վնասակար ծրագրեր և օգտագործվում են «զոհերին» (victim) վնասակար հասցեներով ուղեկցելու նպատակով:

Joomla-ի խոցելիության հիմքում տվյալների ճիշտ զտման (filter) բացակայությունն է, որը վեբ-դիտարկչի սեսիայի արժեքը տվյալների բազայում պահպանելիս սխալ է կազմակերպված: Sucuri ընկերությունը նույնպես անրադարձել է այս խնդրին և իրենց բլոգում հրապարակել մանրամասներ, թե ինչպես կարելի է օգտվել այս խոցելիությունից:

Հետազոտողների խոսքերով, չարագործները փորձել են գտնել սերվերներից որոնք են խոցելի՝ վերլուծելով սերվերներին ուղարկած այնպիսի հարցումներ (HTTP request), որոնք սերվերի մասում փորձում են աշխատացնել այնպիսի ֆունկցիաներ, ինչպիսիք են phpinfo()-ն և eval(chr())-ը:

Խոցելի սերվեր հայտնաբերելուն պես, չարագործները հետին մուտք (backdoor) են թողնում սերվերի վրա, ինչը նրանց թույլ կտա աշխատացնել հրամաններ, վերբեռնել և ներբեռնել ֆայլեր, կամ փոփոխություն անել այդ սերվերում տեղադրված վեբ-կայքի վրա:

Ամեն դեպքում, սերվերների տեխնիկական պատասխանատուներին խորհուրդ է տրվում պարբերաբար վերլուծել «access log» ֆայլի պարունակությունը և ձեռք բերել Joomla-ի վերջին թարմացումները՝ հարձակման հերթական զոհ չդառնալու նպատակով:

Թեմաներ

Հատկորոշիչներ

Կիսվել հոդվածով

Մեկնաբանություններ ()

Առաջարկվող հոդվածներ


Ակնթարթային ծանուցումներ

Բաժանորդագրվե՛ք «Telegram»-ի մեր խմբին, որպեսզի առաջինը տեղեկանաք կիբերանվտանգության վերջին նորություններին, ռեսուրսներին և վերլուծություններին: