В Joomla выявили уязвимость нулевого дня

09 октября 2019 г., среда

Баг, найденный в старых версиях CMS, позволяет внедрить PHP-объект на сайт и выполнить вредоносный код в рамках хоста.

Специалист компании Hacktive Security Алессандро Гроппо (Alessandro Groppo) обнаружил опасную уязвимость в CMS Joomla. По его словам, некоторые версии системы допускают внедрение стороннего PHP-инжекта, что может привести к выполнению вредоносного кода на сервере веб-ресурса. Эксперт выложил детальное описание бага и опубликовал эксплойт, который добавляет бэкдор в файл configuration.php.

Уязвимость присутствует в Joomla версий с 3.0.0 по 3.4.6. Она похожа на баг CVE-2015-8562, закрытый разработчиками четыре года назад, однако не зависит от версии PHP, используемой хостингом. Эксплуатация ошибки допускает множество сценариев атаки, один из которых задействует форму авторизации CMS для внедрения полезной нагрузки.

Как пояснил Гроппо, проблема связана с некорректной десериализацией объектов при операциях чтения и записи в базе данных MySQL. Используя этот недостаток, атакующий может, например, вызвать переполнение поля имени пользователя при авторизации, что позволит ему запустить в рамках системы вредоносный скрипт. Ошибка присутствует в Joomla вплоть до версии 3.4.7, где разработчики стали шифровать сессии при передаче в БД. При этом актуальная на момент публикации сборка CMS имеет номер 3.9.11.

Уязвимы только старые релизы Joomla

Под угрозой версии CMS, выпущенные с 2012 по 2015 год, что существенно снижает опасность бага. Тем не менее специалисты отмечают, что некоторые владельцы веб-ресурсов не обновляют Joomla из-за проблем совместимости с плагинами и темами оформления. Так же как и в случае с CVE-2015-8562, злоумышленники могут начать атаки на непропатченные системы, чтобы украсть информацию или перехватить управление веб-ресурсом.

Весной этого года в почтовом сервере Joomla нашли серьезный баг, который позволял киберпреступникам рассылать письма с адресов, принадлежащих уязвимому сайту. Проблема, связанная с некорректной обработкой HTTP-заголовков, допускала внедрение зашифрованного PHP-объекта в поле User-Agent. ИБ-специалисты узнали об ошибке уже после того, как ее взяли на вооружение злоумышленники — на одном из серверов с установленной CMS обнаружили следы атаки хакера с псевдонимом Alarg53.

Threatpost