Содержание
Злоумышленники активно атакуют сайты на Joomla, используя данную уязвимость. Немедленно обновите SP Page Builder до версии 6.6.2 и проверьте список пользователей-администраторов на наличие подозрительных записей.
Механизм атаки: почему это опасно?
В популярном конструкторе страниц SP Page Builder (разработчик JoomShaper) обнаружена критическая уязвимость нулевого дня (zero-day), которая уже используется злоумышленниками для взлома сайтов.
Суть проблемы: уязвимость позволяет неавторизованному пользователю (даже без входа на сайт) загрузить PHP-скрипт (веб-шелл) через один из эндпоинтов компонента и выполнить его на сервере. Это даёт атакующему полный контроль над сайтом: кражу данных, изменение страниц, установку бэкдоров и использование сервера для атак на другие сайты.
Какие версии подвержены уязвимости?
Уязвимость затрагивает все версии SP Page Builder до версии 6.6.1 включительно. Исправление добавлено в версии 6.6.2.
Как именно происходит атака?
Атакующие обращаются к задаче (task) asset.uploadCustomIcon в контроллере SP Page Builder, которая предназначена для загрузки пользовательских иконок. Проблема в том, что этот эндпоинт:
- Не проверяет авторизацию пользователя — запрос может отправить кто угодно.
- Не проверяет тип загружаемого файла — позволяет загрузить на сервер файл с расширением .php.
Загруженный PHP-файл становится доступен по веб-адресу, и злоумышленник, перейдя по нему, может выполнить произвольный PHP-код на сервере.
Что оставляет после себя злоумышленник?
Скрытые учётные записи супер-администраторов — создаются учётные записи с правами Super Users, которые выглядят безобидно («Web Editor», «Admin Backup», «Site Helper»), но имеют характерный email-адрес, заканчивающийся на @secure.local. Имена могут варьироваться (webeditor48, sitehelper7, adminbk и т.д.), но email-домен @secure.local — это верный признак взлома через эту уязвимость.
Бэкдор (PHP-файловый менеджер) — на сервере создаются скрытые копии PHP-файлов с полным функционалом файлового менеджера и консоли PHP. Они могут находиться в разных местах, например:
- images/<случайная_папка>/fonts/
- media/com_admin/
- media/regularlabs/
- Файлы могут называться users.php или иметь другие имена.
Эти копии создаются для того, чтобы даже после удаления одной из них атакующий сохранил доступ.
Как исправить и защитить сайт?
Обновите SP Page Builder до версии 6.6.2. Это можно сделать скачав через панель администратора Joomla (стандартное обновление расширений) или загрузив пакет версии 6.6.2 с сайта разработчика и установив поверх старой версии.
Проверьте список пользователей-администраторов на наличие подозрительных учётных записей, особенно с email-адресами, оканчивающимися на @secure.local. Немедленно удалите их.
Проведите аудит файлов на сервере. Найдите и удалите подозрительные PHP-файлы, особенно те, которые содержат упоминания «PHP File manager», в директориях, перечисленных выше, и других нестандартных местах.
Смените пароли для всех учётных записей Joomla, FTP/SSH и базы данных на скомпрометированном сайте.
Выполните полную проверку безопасности сайта с помощью специализированных сканеров, чтобы убедиться, что на сайте нет других скрытых угроз.
Почему это важно?
Эта уязвимость активно эксплуатируется в сети. Злоумышленники автоматизируют атаки, и как только технические детали становятся публичными (а это уже произошло), количество атак резко возрастает. Если вы не обновитесь сейчас, ваш сайт будет взломан. Простая установка WAF-правил, защищающих от недавней атаки на JCE, может не сработать, так как это другой вектор атаки .
Будьте внимательны и обновите свои сайты прямо сейчас!
