BLOG | NGINX

Nouvel exploit Joomla CVE-2015-8562

NGINX-Partie-de-F5-horiz-black-type-RGB
Vignette de Floyd Smith
Floyd Smith
Publié le 15 décembre 2015

Il existe un nouvel exploit zero day dans Joomla. Les détails sont décrits dans CVE-2015-8562 .

Nous vous recommandons de mettre à jour Joomla immédiatement, mais si vous ne pouvez pas le faire ou ne pouvez pas modifier les fichiers sur vos serveurs backend, vous pouvez appliquer un correctif dans NGINX ou NGINX Plus sur le frontend.

Note : Nous vous conseillons fortement de mettre à jour vos installations Joomla dès que possible, même si vous patchez votre site aujourd'hui avec cette configuration NGINX.

Vous pouvez en savoir plus sur l'exploit et le correctif sur le blog Sucuri ou Ars Technica , entre autres.

Identifier l'attaque

Les attaques originales provenaient de ces adresses IP :

  • Le 12 décembre 2015 – 74.3.170.33
  • Le 13 décembre 2015 – 146.0.72.83 et 194.28.174.106

L'attaque est généralement effectuée en modifiant l'en-tête User-Agent et peut être identifiée par ces valeurs à l'intérieur de l'en-tête : JDatabaseDriverMysqli et O : (lettre majuscule O suivie des deux points).

Joomla fournit l'exemple d'entrée de journal suivant provenant d'une attaque.

12 déc. 2015 16:49:07 clienyhidden.access.logSrc IP : 74.3.XX.XX / CAN / Alberta
74.3.XX.XX [12/déc./2015:16:49:40 -0500] OBTENIR /contact/ HTTP/1.1 403 5322 http://google.com/ }__test|O:21:x22JDatabaseDriverMysqlix22:3:..{s:2:x22fcx22;O:17:x22JSimplepieFactoryx22:0:..{}s:21:x22x5C0x5C0x5C0disconnectHandlersx22;a:1:{i:0;a:2:{i:0;O:9:x22SimplePiex22:5:..{s:8:x22sanitizex22;O:20:x22JDatabaseDriverMysqlx22:0:{}s:8:x22feed_urlx22;s:60:..

Application d'un correctif dans NGINX ou NGINX Plus

Utilisez cet extrait de configuration NGINX pour bloquer les adresses IP d'origine et toute demande où l'en-tête User-Agent contient O: ou JDatabaseDriverMysqli . Pour bloquer des adresses IP supplémentaires, ajoutez-les à la liste dans le deuxième bloc de carte .

http { carte $http_user_agent $blocked_ua {
~(?i)O: 1;
~(?i)JDatabaseDriverMysql 1;
par défaut 0;
}

map $remote_addr $blocked_ip {
74.3.170.33 1;
146.0.72.83 1;
194.28.174.106 1;
par défaut 0;
}

serveur {
écoute 80;
si ($blocked_ua) { renvoie 403; }
si ($blocked_ip) { renvoie 403; }
# ...
}
}

Pour plus d'informations sur la restriction de l'accès à votre site, consultez le Guide d'administration NGINX Plus .

Postez votre expérience dans les commentaires ci-dessous.

Lire plus d'articles de blog sur F5 NGINX ›

« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."