بر اساس گفتهی محققان، عاملان مخرب با ارسال درخواستهای HTML و بررسی پاسخهای دریافتی که هنگام اجرای دستورالعملهایی مانند asphpinfo() و eval اجرا می شوند، سعی در شناسایی کارگزارهای آسیبپذیر دارند.
شرکت سیمنتک روزانه تا ۲۰۰۰۰۰ تلاش برای حمله را کشف کرده است که قصد رخنه به برنامهی آسیبپذیر جوملا که به تازگی بازسازی شده است را داشتهاند. این برنامه میتواند به عنوان یک وسیلهی نفوذ برای اجرای کدها عمل کند.
تکنــــــــــــازدانلود: این برنامه با عنوان as CVE-۲۰۱۵-۸۵۶۲ با انتشار نسخهی جدید جوملا
۳.۴.۶ و تعمیر اساسی نسخههای ۱.۵ و ۲.۵ در نیمهی ماه دسامبر این برنامه
را بازسازی کردند. اولین حمله برای سوءاستفاده از این نقص که بر روی نسخهی
جوملا ۱.۵.۰ از طریق نسخهی ۳.۴.۵ انجام گرفت، دو روز قبل از انجام این
بازیابیها توسط توسعهدهندگان برنامهی محبوب سامانهی مدیریت محتوا (CMS)
صورت گرفت.
شرکت سیمنتک بر روی این تلاشها برای حمله، نظارت و آنها را شناسایی کرده
است، و از زمانی که این نقص آشکار شد، به طور میانگین روزانه ۱۶۰۰۰ تلاش
برای حمله صورت گرفته است. نفوذگرها میتوانند به حفرهی امنیتی جوملا رخنه
کرده و کارگزارها را نفوذ کرده و از آنها برای میزبانی بدافزارها و دیگر
فعالیتهای مخرب استفاده کنند. این نفوذگرها هم چنین میتوانند این دسترسی
به کارگزارهای مورد نظر را در بازارهای زیر زمینی فروخته و به دیگران
اجازهی حملهی انسداد سرویس را نیز بدهد. برخی از این دستگاههای نفوذ شده
ممکن است حاوی اطلاعات با ارزشی باشند.
شرکت سیمنتک گزارش داد که از کارگزارهای آلوده برای تغییر مسیر قربانیان به
سمت بستههای نفوذی و احتمالاً به سمت میزبانی بدافزارها استفاده میشود.
این آسیبپذیری جوملا که مورد هدف نفوذگرها قرار گرفته است باعث فقدان
فیلترینگ مناسب هنگام ذخیرهی دادههای مرورگر در پایگاه دادهها میشود.
Sucuri در یک پست در وبلاگی جزییات این نقص و چگونگی سوءاستفاده از آن را گزارش داده است.
بر اساس گفتهی محققان، عاملان مخرب با ارسال درخواستهای HTML و بررسی
پاسخهای دریافتی که هنگام اجرای دستورالعملهایی مانند asphpinfo() و eval
اجرا می شوند، سعی در شناسایی کارگزارهای آسیبپذیر دارند. هنگامی که یک
کارگزار آسیبپذیر شناسایی میشود نفوذگرها با نصب در پشتی بر روی آن
میتوانند دستورالعملهایی را اجرا، پرونده هایی را بارگیری یا بارگذاری
کرده و وبگاههایی که کارگزار میزبانی میکند را تغییر دهند.
مدیران میتوانند دسترسیهای وب را برای درخواستهای مشکوک بررسی کنند و
اگر تا قبل از تعمیر و بازسازی نصب جوملا درخواستهای مخربی ارسال شده
باشد، مدیر باید فرض را بر این بگذارد که سامانه مورد رخنه واقع شده است.
در اواسط ماه نوامبر سیمنتک گزارش داد که عاملان مخرب روزانه هزاران
درخواست را میفرستند تا کارگزارهای vBulletin را بیابند که توسط یک
بازسازی آسیبپذیر در دوم نوامبر آلوده شدهاند.
این شرکت امنیتی گزارش داد روشهایی که نفوذگرها برای یافتن نصبهای
آسیبپذیر vBullrin استفاده کردهاند شبیه به روشهایی است که اکنون علیه
کارگزارهای جوملا استفاده کردهاند.