语言
中文 英文
安全预警,防患未然
首页 > 烽火狼烟

【烽火狼烟】Joomla3.0.0-3.4.6 远程代码执行漏洞预警及安全影响力评估


前言

近日,Joomla内容管理系统被爆出一个远程代码执行漏洞,Joomla 内容管理系统(CMS)是一个简单而强大的 Web 服务器应用程序,适合用于搭建各类网站。此次安全事件中,Joomla 会话以 PHP对象的形式存储在数据库中,由 PHP 会话函数处理。但是未认证用户的会话也可以进行存储,恶意攻击者可以使用登录表单发送漏洞利用程序,将恶意对象存储到数据库中。通过将有效负载将从数据库中检索出来,从session_start()函数进行反序列化,将导致远程代码执行。


网络基本情况(Joomla基本情况分布)

盛邦安全网络空间搜索引擎发现全球共有155497设备使用Joomla内容管理系统,具体分布情况分布见下图(颜色深浅代表数量多少,颜色越深数量越高)。


01.jpg


在全球范围内,美国使用的Joomla内容管理系统最多,有58218台设备。其次是德国,有9934台设备使用Joomla内容管理系统,荷兰排第三,有8142台设备使用Joomla内容管理系统。法国有6579台设备使用Joomla内容管理系统。俄罗斯有6377台设备使用Joomla内容管理系统,波兰则有5340台设备使用Joomla内容管理系统。

1570690303332066894.jpg


在中国境内Joomla内容管理系统的使用中,台湾最多,有1636台。其次是香港,有745台设备使用Joomla内容管理系统,北京排第三,有310台设备使用Joomla内容管理系统。广东有250台设备使用Joomla内容管理系统,浙江有180台设备使用Joomla内容管理系统,上海有155台设备使用Joomla内容管理系统,山东有88台设备使用Joomla内容管理系统。

1570690340912022158.jpg


事件影响及其修复

1.受影响版本:Joomla 3.0.0 – 3.4.6版本。

2.更新至最新版本3.9.12。


总结

网络空间搜索引擎的角度去探讨Joomla3.0.0-3.4.6 远程代码执行漏洞对全球造成的影响力。主要的结论如下:

1.现阶段全球共有155497台机器使用Joomla内容管理系统。

2.此漏洞未认证用户将Joomla会话存储,通过精心构造请求包,导致PHP对象注入,进而造成未认证的远程代码执行。