BLOG | NGINX

Nuevo exploit de Joomla CVE-2015-8562

NGINX - Parte de F5 - horizontal, negro, tipo RGB
Miniatura de Floyd Smith
Floyd Smith
Publicado el 15 de diciembre de 2015

Hay un nuevo exploit de día cero en Joomla. Los detalles se describen en CVE-2015-8562 .

Le recomendamos que actualice Joomla inmediatamente, pero si no puede hacerlo o no puede cambiar los archivos en sus servidores backend, puede aplicar una solución en NGINX o NGINX Plus en el frontend.

Nota : Le recomendamos encarecidamente que actualice sus instalaciones de Joomla lo antes posible, incluso si parchea su sitio hoy con esta configuración NGINX.

Puedes leer sobre el exploit y el parche en el blog de Sucuri o Ars Technica , entre otros.

Identificando el ataque

Los ataques originales vinieron desde estas direcciones IP:

  • El 12 de diciembre de 2015 – 74.3.170.33
  • El 13 de diciembre de 2015 – 146.0.72.83 y 194.28.174.106

El ataque generalmente se realiza modificando el encabezado User-Agent y se puede identificar por estos valores dentro del encabezado: JDatabaseDriverMysqli y O: (letra mayúscula O seguida de dos puntos).

Joomla proporciona la siguiente entrada de registro de muestra de un ataque.

12 de diciembre de 2015 16:49:07 clienyhidden.access.logSrc IP: 74.3.XX.XX / CAN / Alberta
74.3.XX.XX [12/dic/2015:16:49:40 -0500] GET /contacto/ HTTP/1.1 403 5322 http://google.com/ }__test|O:21:x22JDatabaseDriverMysqlix22:3:..{s:2:x22fcx22;O:17:x22JSimplepieFactoryx22:0:..{}s:21:x22x5C0x5C0x5C0disconnectHandlersx22;a:1:{i:0;a:2:{i:0;O:9:x22SimplePiex22:5:..{s:8:x22sanitizex22;O:20:x22JDatabaseDriverMysqlx22:0:{}s:8:x22feed_urlx22;s:60:..

Aplicación de una corrección en NGINX o NGINX Plus

Utilice este fragmento de configuración de NGINX para bloquear las direcciones IP originales y cualquier solicitud donde el encabezado User-Agent contenga O: o JDatabaseDriverMysqli . Para bloquear direcciones IP adicionales, agréguelas a la lista en el segundo bloque del mapa .

http { mapa $http_user_agent $blocked_ua {
~(?i)O: 1;
~(?i)JDatabaseDriverMysql 1;
predeterminado 0;
}

mapa $dirección_remota $ip_bloqueada {
74.3.170.33 1;
146.0.72.83 1;
194.28.174.106 1;
predeterminado 0;
}

servidor {
escuchar 80;
si ($ua_bloqueada) { devolver 403; }
si ($ip_bloqueada) { devolver 403; }
# ...
}
}

Para obtener más información sobre cómo restringir el acceso a su sitio, consulte la Guía de administración de NGINX Plus .

Publica tu experiencia en los comentarios a continuación.

Leer más publicaciones de blog sobre F5 NGINX ›

"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.