Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Vulnerabilidad crítica en Joomla en las versiones entre 1.5 y 3.4


0-day crítico en el gestor de contenidos (CMS) Joomla. La vulnerabilidad es grave ya que permite la ejecución remota de comandos y está siendo explotada agresivamente. Se recomienda aplicar inmediatamente el parche.





  • Project: Joomla!
  • SubProject: CMS
  • Severity: High
  • Versions: 1.5.0 through 3.4.5
  • Exploit type: Remote Code Execution
  • Reported Date: 2015-December-13
  • Fixed Date: 2015-December-14
  • CVE Numbers: CVE-2015-8562

 El equipo de seguridad de Joomla acaba de lanzar una nueva versión de Joomla para parchear una vulnerabilidad de ejecución remota de comandos crítica que afecta a todas las versiones de 1.5 a 3.4. Esta es una grave vulnerabilidad que puede ser explotada con facilidad.. Si está usando Joomla, hay que actualizarla ahora.


0-day Exploits


Lo que es muy preocupante es que esta vulnerabilidad ya está siendo explotada y lo sido durante los últimos 2 días



Mirando hacia atrás en nuestros registros, se detectó el primer exploit dirigido esta vulnerabilidad el 12 dic, a las 4:49 PM:

2015 Dec 12 16:49:07 clienyhidden.access.log
Src IP: 74.3.170.33 / CAN / Alberta
74.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1″ 403 5322 “http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: ..
{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:..
{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:..
Hemos modificado la carga útil (payload9 por lo que no puede ser mal utilizada, pero los atacantes estamos haciendo una inyección objeto a través del agente de usuario HTTP que conduce a una plena ejecución remota de comandos.

Hemos detectado muchos más exploits de esta misma dirección IP "74.3.170.33" en 12 de diciembre, seguido por cientos más explotar intentos de 146.0.72.83 y 194.28.174.106 en el dia 13 de diciembre.

Ayer (14 de diciembre), la ola de ataques es aún más grande, con básicamente cada sitio y honeypot hemos de ser atacado. Eso significa que probablemente cualquier otro sitio Joomla por ahí está en la mira también.
Proteja su sitio ahora

Si usted es un usuario de Joomla, revise sus registros de inmediato. Busque peticiones de 146.0.72.83 o 74.3.170.33 o 194.28.174.106, ya que fueron los primeros en direcciones IP para iniciar la explotación. También recomiendo buscar los registros de "JDatabaseDriverMysqli" o "O:" en el agente de usuario, ya que se ha utilizado en los exploits. Si los encuentra, considere su sitio Joomla comprometido y pase a la fase de respuesta de remediación / incidente.



Ten en cuenta que los clientes detrás de nuestro Firewall Sitio Web ya estaban protegidos contra esta amenaza y son seguros. Sí, nuestra parches virtuales para el Agente de Usuario HTTP mantuvo nuestros usuarios protegidos contra esta vulnerabilidad.

Si utilizas Joomla, actualiza lo antes posible!

Para aquellos en la rama 3.x, actualizar inmediatamente a 3.4.6. Habrá arreglos no oficiales para Joomla! 1.5.x y 2.5.x siempre pronto. Cualquier persona que use esas versiones debe estar al tanto y actualizar tan pronto como sea posible.



Todavía estamos monitoreando el tema y le proporcionaremos más actualizaciones a medida que aprendemos más.




Fuente:
https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html

1 comentarios :

Unknown dijo...

Siempre hay que tener actualizado a las ultimas versiones, mediante se van actualizando se pprevienen estos ataques, aunque no siempre sea así es una manera de "combatirlo" encontre un blog donde explican como acerlo, es en http://nomasvirus.com . Me ha encantado este artículo.
Existe alguna extensión para pasar de wordpress a joomla?

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.