新しい Joomla エクスプロイト CVE-2015-8562

Joomla に新たなゼロデイ脆弱性が存在します。 詳細はCVE-2015-8562に記載されています。

Joomla をすぐに更新することをお勧めしますが、それができない場合やバックエンド サーバーのファイルを変更できない場合は、フロントエンドの NGINX または NGINX Plus で修正を適用できます。

注記： この NGINX 構成を使用して今日サイトにパッチを適用したとしても、できるだけ早く Joomla インストールを更新することを強くお勧めします。

この脆弱性とパッチについては、 Sucuri ブログやArs Technicaなどで読むことができます。

攻撃の特定

元の攻撃は次の IP アドレスから発生しました。

• 2015年12月12日 – 74.3.170.33
• 2015年12月13日 – 146.0.72.83 および 194.28.174.106

この攻撃は通常、 User-Agentヘッダーを変更することによって実行され、ヘッダー内の次の値によって識別できます。 JDatabaseDriverMysqliおよびO: (大文字の O の後にコロンが続きます)。

Joomla は、攻撃からの次のサンプル ログ エントリを提供します。

2015年12月12日 16:49:07 clienyhidden.access.logSrc IP: 74.3.XX.XX / CAN / アルバータ
74.3.XX.XX [12/Dec/2015:16:49:40 -0500] GET /contact/ HTTP/1.1 403 5322 http://google.com/ }__test|O:21:x22JDatabaseDriverMysqlix22:3:..{s:2:x22fcx22;O:17:x22JSimplepieFactoryx22:0:..{}s:21:x22x5C0x5C0x5C0disconnectHandlersx22;a:1:{i:0;a:2:{i:0;O:9:x22SimplePiex22:5:..{s:8:x22sanitizex22;O:20:x22JDatabaseDriverMysqlx22:0:{}s:8:x22feed_urlx22;s:60:..

NGINX または NGINX Plus で修正を適用する

NGINX 構成のこのスニペットを使用して、元の IP アドレスと、 User-AgentヘッダーにO:またはJDatabaseDriverMysqliが含まれるすべてのリクエストをブロックします。 追加の IP アドレスをブロックするには、2 番目のマップブロックのリストにそれらを追加します。

http { マップ $http_user_agent $blocked_ua {
~(?i)O: 1;
~(?i)JDatabaseDriverMysql 1;
デフォルト 0;
}

map $remote_addr $blocked_ip {
74.3.170.33 1;
146.0.72.83 1;
194.28.174.106 1;
デフォルト 0;
}

server {
listen 80;
if ($blocked_ua) { return 403; }
if ($blocked_ip) { return 403; }
# ...
}
}

サイトへのアクセス制限の詳細については、 NGINX Plus 管理者ガイドを参照してください。

あなたの体験を以下のコメント欄に投稿してください。