BLOG | NGINX

Nuevo exploit de Joomla CVE-2015-8562

Miniatura de Floyd Smith
Floyd Smith
Publicado el 15 de diciembre de 2015

Hay un nuevo exploit de día cero en Joomla. Los detalles se describen en CVE-2015-8562 .

Le recomendamos que actualice Joomla inmediatamente, pero si no puede hacerlo o no puede cambiar los archivos en sus servidores backend, puede aplicar una solución en NGINX o NGINX Plus en el frontend.

Nota : Le recomendamos encarecidamente que actualice sus instalaciones de Joomla lo antes posible, incluso si parchea su sitio hoy con esta configuración NGINX.

Puedes leer sobre el exploit y el parche en el blog de Sucuri o Ars Technica , entre otros.

Identificando el ataque

Los ataques originales vinieron desde estas direcciones IP:

  • El 12 de diciembre de 2015 – 74.3.170.33
  • El 13 de diciembre de 2015 – 146.0.72.83 y 194.28.174.106

El ataque generalmente se realiza modificando el encabezado User-Agent y se puede identificar por estos valores dentro del encabezado: JDatabaseDriverMysqli y O: (letra mayúscula O seguida de dos puntos).

Joomla proporciona la siguiente entrada de registro de muestra de un ataque.

2015 Dec 12 16:49:07 clienyhidden.access.logSrc IP: 74.3.XX.XX / CAN / Alberta
74.3.XX.XX [12/Dec/2015:16:49:40 -0500] GET /contact/ HTTP/1.1 403 5322 http://google.com/ }__test|O:21:x22JDatabaseDriverMysqlix22:3:..{s:2:x22fcx22;O:17:x22JSimplepieFactoryx22:0:..{}s:21:x22x5C0x5C0x5C0disconnectHandlersx22;a:1:{i:0;a:2:{i:0;O:9:x22SimplePiex22:5:..{s:8:x22sanitizex22;O:20:x22JDatabaseDriverMysqlx22:0:{}s:8:x22feed_urlx22;s:60:..

Aplicación de una corrección en NGINX o NGINX Plus

Utilice este fragmento de configuración de NGINX para bloquear las direcciones IP originales y cualquier solicitud donde el encabezado User-Agent contenga O: o JDatabaseDriverMysqli . Para bloquear direcciones IP adicionales, agréguelas a la lista en el segundo bloque del mapa .

http {    map $http_user_agent $blocked_ua {
        ~(?i)O: 1;
        ~(?i)JDatabaseDriverMysql 1;
        default 0;
    }

    map $remote_addr $blocked_ip {
        74.3.170.33 1;
        146.0.72.83 1;
        194.28.174.106 1;
        default 0;
    }
    
    server {
        listen 80;
        if ($blocked_ua) { return 403; }
        if ($blocked_ip) { return 403; }
        # ...
    }
}

Para obtener más información sobre cómo restringir el acceso a su sitio, consulte la Guía de administración de NGINX Plus .

Publica tu experiencia en los comentarios a continuación.


"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.