روزانه ۱۶۰۰۰ حمله توسط هکرها به کارگزار آسیب‌پذیر جوملا

بر اساس گفته‌ی محققان، عاملان مخرب با ارسال درخواست‌های HTML و بررسی پاسخ‌های دریافتی که هنگام اجرای دستورالعمل‌هایی مانند asphpinfo() و eval اجرا می ‌شوند، سعی در شناسایی کارگزارهای آسیب‌پذیر دارند.

شرکت سیمنتک روزانه تا ۲۰۰۰۰۰ تلاش برای حمله را کشف کرده است که قصد رخنه به برنامه‌ی آسیب‌پذیر جوملا که به تازگی بازسازی شده است را داشته‌اند. این برنامه می‌تواند به عنوان یک وسیله‌ی نفوذ برای اجرای کدها عمل کند.

تکنــــــــــــازدانلود: این برنامه با عنوان as CVE-۲۰۱۵-۸۵۶۲ با انتشار نسخه‌ی جدید جوملا ۳.۴.۶ و تعمیر اساسی نسخه‌های ۱.۵ و ۲.۵ در نیمه‌ی ماه دسامبر این برنامه را بازسازی کردند. اولین حمله برای سوءاستفاده از این نقص که بر روی نسخه‌ی جوملا ۱.۵.۰ از طریق نسخه‌ی ۳.۴.۵ انجام گرفت، دو روز قبل از انجام این بازیابی‌ها توسط توسعه‌دهندگان برنامه‌ی محبوب سامانه‌ی مدیریت محتوا (CMS) صورت گرفت.
شرکت سیمنتک بر روی این تلاش‌ها برای حمله، نظارت و آن‌ها را شناسایی کرده است، و از زمانی که این نقص آشکار شد، به طور میانگین روزانه ۱۶۰۰۰ تلاش برای حمله صورت گرفته است. نفوذگرها می‌توانند به حفره‌ی امنیتی جوملا رخنه کرده و کارگزارها را نفوذ کرده و از آن‌ها برای میزبانی بدافزارها و دیگر فعالیت‌های مخرب استفاده کنند. این نفوذگرها هم چنین می‌توانند این دسترسی به کارگزارهای مورد نظر را در بازارهای زیر زمینی فروخته و به دیگران اجازه‌ی حمله‌ی انسداد سرویس را نیز بدهد. برخی از این دستگاه‌های نفوذ شده ممکن است حاوی اطلاعات با ارزشی باشند.

شرکت سیمنتک گزارش داد که از کارگزارهای آلوده برای تغییر مسیر قربانیان به سمت بسته‌های نفوذی و احتمالاً به سمت میزبانی بدافزارها استفاده می‌شود. این آسیب‌پذیری جوملا که مورد هدف نفوذگرها قرار گرفته است باعث فقدان فیلترینگ مناسب هنگام ذخیره‌ی داده‌های مرورگر در پایگاه داده‌ها می‌شود.
Sucuri در یک پست در وبلاگی جزییات این نقص و چگونگی سوءاستفاده از آن را گزارش داده است.
بر اساس گفته‌ی محققان، عاملان مخرب با ارسال درخواست‌های HTML و بررسی پاسخ‌های دریافتی که هنگام اجرای دستورالعمل‌هایی مانند asphpinfo() و eval اجرا می ‌شوند، سعی در شناسایی کارگزارهای آسیب‌پذیر دارند. هنگامی که یک کارگزار آسیب‌پذیر شناسایی می‌شود نفوذگرها با نصب در پشتی بر روی آن می‌توانند دستورالعمل‌هایی را اجرا، پرونده هایی را بارگیری یا بارگذاری کرده و وب‌گاه‌هایی که کارگزار میزبانی می‌کند را تغییر دهند.
مدیران می‌توانند دسترسی‌های وب را برای درخواست‌های مشکوک بررسی کنند و اگر تا قبل از تعمیر و بازسازی نصب جوملا درخواست‌های مخربی ارسال شده باشد، مدیر باید فرض را بر این بگذارد که سامانه مورد رخنه واقع شده است.
در اواسط ماه نوامبر سیمنتک گزارش داد که عاملان مخرب روزانه هزاران درخواست را می‌فرستند تا کارگزارهای vBulletin را بیابند که توسط یک بازسازی آسیب‌پذیر در دوم نوامبر آلوده شده‌اند.
این شرکت امنیتی گزارش داد روش‌هایی که نفوذگرها برای یافتن نصب‌های آسیب‌پذیر vBullrin استفاده کرده‌اند شبیه به روش‌هایی است که اکنون علیه کارگزارهای جوملا استفاده کرده‌اند.