새로운 Joomla 익스플로잇 CVE-2015-8562

Joomla에 새로운 제로데이 익스플로잇이 발견되었습니다. 자세한 내용은 CVE-2015-8562 에 설명되어 있습니다.

Joomla를 즉시 업데이트하는 것이 좋지만, 업데이트할 수 없거나 백엔드 서버의 파일을 변경할 수 없는 경우 프런트엔드의 NGINX 또는 NGINX Plus에서 수정 사항을 적용할 수 있습니다.

메모 : 오늘 NGINX 구성으로 사이트에 패치를 적용하더라도, 가능한 한 빨리 Joomla 설치를 업데이트하는 것이 좋습니다.

해당 익스플로잇과 패치에 대한 내용은 Sucuri 블로그 나 Ars Technica 등에서 읽을 수 있습니다.

공격 식별

원래 공격은 다음 IP 주소에서 시작되었습니다.

• 2015년 12월 12일 – 74.3.170.33
• 2015년 12월 13일 – 146.0.72.83 및 194.28.174.106

공격은 일반적으로 User-Agent 헤더를 수정하여 수행되며 헤더 내부의 다음 값으로 식별할 수 있습니다. JDatabaseDriverMysqli 및 O: (대문자 O 뒤에 콜론).

Joomla는 공격에 대한 샘플 로그 항목을 다음과 같이 제공합니다.

2015년 12월 12일 16:49:07 clienyhidden.access.logSrc IP: 74.3.XX.XX / 캐나다 / 앨버타
74.3.XX.XX [2015년 12월 12일:16:49:40 -0500] GET /연락처/ HTTP/1.1 403 5322 http://google.com/ }__테스트|O:21:x22J데이터베이스드라이버Mysqlix22:3:..{s:2:x22fcx22;O:17:x22JSimplepieFactoryx22:0:..{}s:21:x22x5C0x5C0x5C0연결해제핸들러x22;a:1:{i:0;a:2:{i:0;O:9:x22SimplePiex22:5:..{s:8:x22sanitizex22;O:20:x22J데이터베이스드라이버Mysqlx22:0:{}s:8:x22feed_urlx22;s:60:..

NGINX 또는 NGINX Plus에서 수정 적용

NGINX 구성의 이 스니펫을 사용하여 원래 IP 주소와 User-Agent 헤더에 O: 또는 JDatabaseDriverMysqli 가 포함된 모든 요청을 차단합니다. 추가 IP 주소를 차단하려면 두 번째 맵 블록의 목록에 해당 주소를 추가하세요.

http { 지도 $http_user_agent $blocked_ua {
~(?i)O: 1;
~(?i)JDatabaseDriverMysql 1;
기본값 0;
}

맵 $원격_주소 $차단_ip {
74.3.170.33 1;
146.0.72.83 1;
194.28.174.106 1;
기본값 0;
}

서버 {
수신 80;
if ($차단_ua) { 반환 403; }
if ($차단_ip) { 반환 403; }
# ...
}
}

사이트 접근 제한에 대한 자세한 내용은 NGINX Plus 관리자 가이드를 참조하세요.

여러분의 경험을 아래의 댓글란에 적어주세요.