Если вы не обновились -возможно, вы уже взломаны
Злоумышленники уже во всю экплуатируют опасную дыру в CMS Joomla, исправленную в версии Joomla 3.6.4, позволяющую создавать привилегированный аккаунт Joomla. Попытки создавать таких пользователей проведены уже на 30 000 сайтов в течении нескольких дней после того как вышло исправление ошибки.
Уязвимость, которая позволяет любому пользователюсоздавать привилегированные учетные записи на Joomla сайтах, впервые была найдена в одной предрелизных версий Joоmla. В связи с этим и была выпущена версия Joomla 3.6.4.
Предполагалось, что данная уязвимость не будет экспуатироваться в ближайшие дни и недели, в то время, пока злоумышленники будут разрабатывать способ взлома сайтов с данной уязвимостью.
Однако эти атаки возникли быстрее, чем прогнозировали специалисты.
Аналитик Sucuri Даниэль Сид говорит, что нападения начались уже через 3 дня после того, как вышел патч. И эти атаки настолько велики, что любой сайт, который не применил патч, скорее всего, под угрозой.
"Менее чем через 24 часа после первоначального сообщения об выходе обновления, мы начали видеть тесты и небольшие пинги на некоторых из наших приманок. Кто-то пытался проверить, существовала ли эта уязвимость" - говорит Сид, добавляя что нападавшие безуспешно пытались воспользоваться ошибкой на кажом сайте Joomla в сети Sucuri
"Менее чем через 36 часов после первоначального раскрытия бага, м ы начали видеть массу попыток использования в Интернете".
"На самом деле, количество растет, и мы убеждены, что любой сайт Joomla, который не был обновлен, скорее всего мог быть взломан".
Количество использований уязвимости по дням
Сид и его коллеги смогли перепроектировать патч в течении "нескольких часов", создав внутренний инструмент, который может использовать уязвимости и загружать бэкдоры на пораженные места.
Предположительно, в зоне риска находятся сайты Joomla, начина с версии 3.4.4 до версии 3.6.3.
По его словам, злоумышленники начали сразу же использовать задачи user.register и создавать несанкционированных пользователей.
Через несколько часов после выхода обновления Joomla, IP - адреса из Румынии и Латвии начали массовые сканирования тысячи сайтов, пытаясь создать пользователя db_cfg.
Joomla в настоящий момент загружена белее 75 миллионов раз и работает на больших и работает на больших и известных сайтах.
Если вас все-таки взломали и вы не знаете что с этим делать читайте нашу справку.
