- 27,652
- 46
- 8 Ноя 2022
Если вас уже взломали, обновление об этом не знает и ничего не почистит.
Разработчик расширения JCE для Joomla выпустил обновление 2.9.99.5, а затем версию 2.9.99.6 с дополнительным усилением защиты и призвал владельцев сайтов установить свежую версию как можно быстрее.
Уязвимость затрагивает все более ранние версии JCE. По словам разработчика, злоумышленники уже активно используют брешь, готовый код атаки опубликован, а попытки взломать сайт идут в автоматическом режиме. Даже если на сайте нет открытой регистрации, это не защищает от риска, поэтому обновление нужно даже тем ресурсам, куда обычные посетители не могут создавать учётные записи.
Проблема связана с профилями редактора. Атака позволяет добавить на сайт профиль JCE, через который разрешено загружать исполняемые файлы, а затем поместить на сервер вредоносный файл . Владельцам сайтов советуют проверить раздел «Компоненты» → «JCE Editor» → «Профили редактора» и обратить внимание на незнакомые профили, особенно с бессмысленными автоматически сгенерированными названиями. Такой профиль может оказаться вверху списка и разрешать загружать PHP или другие файлы сценариев через параметры расширений вроде менеджера изображений или файлового обозревателя.
Ещё один тревожный признак связан с внешним редактором сайта. Если привычная панель инструментов исчезла и вместо неё показывается сильно урезанная версия с одной кнопкой или вообще без кнопок, сам по себе признак не доказывает взлом, но вместе с неизвестным профилем указывает на высокую вероятность компрометации.
Разработчик подчёркивает, что обновление закрывает входную точку, но не очищает уже взломанный сайт. Если злоумышленники успели попасть внутрь до того как установили исправление, новая версия JCE не удалит оставленные файлы и настройки. Чтобы подтвердить атаку, лучше проверить журналы доступа веб-сервера и найти запросы без авторизации к задаче импорта профиля: index.php?option=com_jce&task=profiles.import. Самая ранняя такая запись поможет понять, когда сайт впервые атаковали, и выбрать резервную копию, созданную до этой даты.
Отдельно нужно проверить каталоги images, media и tmp. В обычной ситуации там не должно быть PHP-файлов или файлов с php в имени, например foo.php.xml. Если путь загрузки в вредоносном профиле не задан, файлы по умолчанию попадают в папку images, поэтому начинать проверку стоит именно с неё.
При обнаружении подозрительного профиля или файла разработчик советует сначала сохранить копию улик, затем обновиться до JCE 2.9.99.6 или более новой версии. Только после того как уязвимость закрыта, можно удалять чужие профили и загруженные через них файлы, иначе автоматическая атака сможет быстро вернуть удалённые элементы. Очистив сайт, владельцам рекомендуют сменить пароли администратора, базы данных, хостинга и доступа по FTP, а также заменить такие же пароли на других ресурсах, где они повторялись.
Для полной проверки желательно запустить серверное сканирование на вредоносные файлы . Некоторые хостинг-провайдеры предлагают такие инструменты самостоятельно или проверяют по запросу. Сервис mysites.guru также подготовил бесплатный аудит, который ищет чужие профили JCE и файлы, загруженные через них, включая области за пределами публичного корня сайта.
Для сайтов, которые пока не могут перейти на JCE 2.9.99.6, выпущен отдельный бесплатный пакет исправлений. Новая версия требует PHP 7.4 и Joomla 3.10 или новее, а временное исправление закрывает уязвимость в ветках JCE 2.7.x, 2.8.x и 2.9.x. При этом разработчик предупреждает, что пакет не включает дополнительное усиление защиты из версии 2.9.99.6, не очищает уже заражённый сайт и предназначен только как временная мера.
Версия JCE 2.6.x в стандартной конфигурации, по предварительной оценке разработчика, не выглядит затронутой, поскольку возможность импортировать профиль без авторизации заблокирована, а гостевой профиль по умолчанию отсутствует. Этот вывод независимо пока не подтверждён. Кроме того, ветка 2.6.x больше не поддерживается и может содержать другие неисправленные проблемы, поэтому владельцам таких сайтов всё равно придётся планировать перейти на поддерживаемую платформу.
Разработчик расширения JCE для Joomla выпустил обновление 2.9.99.5, а затем версию 2.9.99.6 с дополнительным усилением защиты и призвал владельцев сайтов установить свежую версию как можно быстрее.
Уязвимость затрагивает все более ранние версии JCE. По словам разработчика, злоумышленники уже активно используют брешь, готовый код атаки опубликован, а попытки взломать сайт идут в автоматическом режиме. Даже если на сайте нет открытой регистрации, это не защищает от риска, поэтому обновление нужно даже тем ресурсам, куда обычные посетители не могут создавать учётные записи.
Проблема связана с профилями редактора. Атака позволяет добавить на сайт профиль JCE, через который разрешено загружать исполняемые файлы, а затем поместить на сервер вредоносный файл . Владельцам сайтов советуют проверить раздел «Компоненты» → «JCE Editor» → «Профили редактора» и обратить внимание на незнакомые профили, особенно с бессмысленными автоматически сгенерированными названиями. Такой профиль может оказаться вверху списка и разрешать загружать PHP или другие файлы сценариев через параметры расширений вроде менеджера изображений или файлового обозревателя.
Ещё один тревожный признак связан с внешним редактором сайта. Если привычная панель инструментов исчезла и вместо неё показывается сильно урезанная версия с одной кнопкой или вообще без кнопок, сам по себе признак не доказывает взлом, но вместе с неизвестным профилем указывает на высокую вероятность компрометации.
Разработчик подчёркивает, что обновление закрывает входную точку, но не очищает уже взломанный сайт. Если злоумышленники успели попасть внутрь до того как установили исправление, новая версия JCE не удалит оставленные файлы и настройки. Чтобы подтвердить атаку, лучше проверить журналы доступа веб-сервера и найти запросы без авторизации к задаче импорта профиля: index.php?option=com_jce&task=profiles.import. Самая ранняя такая запись поможет понять, когда сайт впервые атаковали, и выбрать резервную копию, созданную до этой даты.
Отдельно нужно проверить каталоги images, media и tmp. В обычной ситуации там не должно быть PHP-файлов или файлов с php в имени, например foo.php.xml. Если путь загрузки в вредоносном профиле не задан, файлы по умолчанию попадают в папку images, поэтому начинать проверку стоит именно с неё.
При обнаружении подозрительного профиля или файла разработчик советует сначала сохранить копию улик, затем обновиться до JCE 2.9.99.6 или более новой версии. Только после того как уязвимость закрыта, можно удалять чужие профили и загруженные через них файлы, иначе автоматическая атака сможет быстро вернуть удалённые элементы. Очистив сайт, владельцам рекомендуют сменить пароли администратора, базы данных, хостинга и доступа по FTP, а также заменить такие же пароли на других ресурсах, где они повторялись.
Для полной проверки желательно запустить серверное сканирование на вредоносные файлы . Некоторые хостинг-провайдеры предлагают такие инструменты самостоятельно или проверяют по запросу. Сервис mysites.guru также подготовил бесплатный аудит, который ищет чужие профили JCE и файлы, загруженные через них, включая области за пределами публичного корня сайта.
Для сайтов, которые пока не могут перейти на JCE 2.9.99.6, выпущен отдельный бесплатный пакет исправлений. Новая версия требует PHP 7.4 и Joomla 3.10 или новее, а временное исправление закрывает уязвимость в ветках JCE 2.7.x, 2.8.x и 2.9.x. При этом разработчик предупреждает, что пакет не включает дополнительное усиление защиты из версии 2.9.99.6, не очищает уже заражённый сайт и предназначен только как временная мера.
Версия JCE 2.6.x в стандартной конфигурации, по предварительной оценке разработчика, не выглядит затронутой, поскольку возможность импортировать профиль без авторизации заблокирована, а гостевой профиль по умолчанию отсутствует. Этот вывод независимо пока не подтверждён. Кроме того, ветка 2.6.x больше не поддерживается и может содержать другие неисправленные проблемы, поэтому владельцам таких сайтов всё равно придётся планировать перейти на поддерживаемую платформу.
- Источник новости
- www.securitylab.ru
