ブログ | NGINX

新しい Joomla エクスプロイト CVE-2015-8562

NGINX-F5 水平黒タイプ RGB の一部
フロイド・スミス サムネイル
フロイド・スミス
2015 年 12 月 15 日公開

Joomla に新たなゼロデイ脆弱性が存在します。 詳細はCVE-2015-8562に記載されています。

Joomla をすぐに更新することをお勧めしますが、それができない場合やバックエンド サーバーのファイルを変更できない場合は、フロントエンドの NGINX または NGINX Plus で修正を適用できます。

注記: この NGINX 構成を使用して今日サイトにパッチを適用したとしても、できるだけ早く Joomla インストールを更新することを強くお勧めします。

この脆弱性とパッチについては、 Sucuri ブログArs Technicaなどで読むことができます。

攻撃の特定

元の攻撃は次の IP アドレスから発生しました。

  • 2015年12月12日 – 74.3.170.33
  • 2015年12月13日 – 146.0.72.83 および 194.28.174.106

この攻撃は通常、 User-Agentヘッダーを変更することによって実行され、ヘッダー内の次の値によって識別できます。 JDatabaseDriverMysqliおよびO: (大文字の O の後にコロンが続きます)。

Joomla は、攻撃からの次のサンプル ログ エントリを提供します。

2015年12月12日 16:49:07 clienyhidden.access.logSrc IP: 74.3.XX.XX / CAN / アルバータ
74.3.XX.XX [12/Dec/2015:16:49:40 -0500] GET /contact/ HTTP/1.1 403 5322 http://google.com/ }__test|O:21:x22JDatabaseDriverMysqlix22:3:..{s:2:x22fcx22;O:17:x22JSimplepieFactoryx22:0:..{}s:21:x22x5C0x5C0x5C0disconnectHandlersx22;a:1:{i:0;a:2:{i:0;O:9:x22SimplePiex22:5:..{s:8:x22sanitizex22;O:20:x22JDatabaseDriverMysqlx22:0:{}s:8:x22feed_urlx22;s:60:..

NGINX または NGINX Plus で修正を適用する

NGINX 構成のこのスニペットを使用して、元の IP アドレスと、 User-AgentヘッダーにO:またはJDatabaseDriverMysqliが含まれるすべてのリクエストをブロックします。 追加の IP アドレスをブロックするには、2 番目のマップブロックのリストにそれらを追加します。

http { マップ $http_user_agent $blocked_ua {
~(?i)O: 1;
~(?i)JDatabaseDriverMysql 1;
デフォルト 0;
}

map $remote_addr $blocked_ip {
74.3.170.33 1;
146.0.72.83 1;
194.28.174.106 1;
デフォルト 0;
}

server {
listen 80;
if ($blocked_ua) { return 403; }
if ($blocked_ip) { return 403; }
# ...
}
}

サイトへのアクセス制限の詳細については、 NGINX Plus 管理者ガイドを参照してください。

あなたの体験を以下のコメント欄に投稿してください。


「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"