0-day crítico en el gestor de contenidos (CMS) Joomla. La vulnerabilidad es grave ya que permite la ejecución remota de comandos y está siendo explotada agresivamente. Se recomienda aplicar inmediatamente el parche.

• Project: Joomla!
• SubProject: CMS
• Severity: High
• Versions: 1.5.0 through 3.4.5
• Exploit type: Remote Code Execution
• Reported Date: 2015-December-13
• Fixed Date: 2015-December-14
• CVE Numbers: CVE-2015-8562

 El equipo de seguridad de Joomla acaba de lanzar una nueva versión de Joomla para parchear una vulnerabilidad de ejecución remota de comandos crítica que afecta a todas las versiones de 1.5 a 3.4. Esta es una grave vulnerabilidad que puede ser explotada con facilidad.. Si está usando Joomla, hay que actualizarla ahora.

0-day Exploits

Lo que es muy preocupante es que esta vulnerabilidad ya está siendo explotada y lo sido durante los últimos 2 días

• https://developer.joomla.org/security-centre/630-20151214-core-remote-code-execution-vulnerability.html

Mirando hacia atrás en nuestros registros, se detectó el primer exploit dirigido esta vulnerabilidad el 12 dic, a las 4:49 PM:

2015 Dec 12 16:49:07 clienyhidden.access.log
Src IP: 74.3.170.33 / CAN / Alberta
74.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1″ 403 5322 “http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: ..
{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:..
{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:..

Hemos modificado la carga útil (payload9 por lo que no puede ser mal utilizada, pero los atacantes estamos haciendo una inyección objeto a través del agente de usuario HTTP que conduce a una plena ejecución remota de comandos.

Hemos detectado muchos más exploits de esta misma dirección IP "74.3.170.33" en 12 de diciembre, seguido por cientos más explotar intentos de 146.0.72.83 y 194.28.174.106 en el dia 13 de diciembre.

Ayer (14 de diciembre), la ola de ataques es aún más grande, con básicamente cada sitio y honeypot hemos de ser atacado. Eso significa que probablemente cualquier otro sitio Joomla por ahí está en la mira también.
Proteja su sitio ahora

Si usted es un usuario de Joomla, revise sus registros de inmediato. Busque peticiones de 146.0.72.83 o 74.3.170.33 o 194.28.174.106, ya que fueron los primeros en direcciones IP para iniciar la explotación. También recomiendo buscar los registros de "JDatabaseDriverMysqli" o "O:" en el agente de usuario, ya que se ha utilizado en los exploits. Si los encuentra, considere su sitio Joomla comprometido y pase a la fase de respuesta de remediación / incidente.



Ten en cuenta que los clientes detrás de nuestro Firewall Sitio Web ya estaban protegidos contra esta amenaza y son seguros. Sí, nuestra parches virtuales para el Agente de Usuario HTTP mantuvo nuestros usuarios protegidos contra esta vulnerabilidad.

Si utilizas Joomla, actualiza lo antes posible!

Para aquellos en la rama 3.x, actualizar inmediatamente a 3.4.6. Habrá arreglos no oficiales para Joomla! 1.5.x y 2.5.x siempre pronto. Cualquier persona que use esas versiones debe estar al tanto y actualizar tan pronto como sea posible.

• https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions
• https://www.ostraining.com/blog/joomla/hotfixes/

Todavía estamos monitoreando el tema y le proporcionaremos más actualizaciones a medida que aprendemos más.




Fuente:
https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html