Digital Trends

Joomla sotto attacco

Gli sviluppatori di Joomla, nota piattaforma di content management system, hanno rilasciato recentemente una patch di sicurezza (3.6.4) che sembra andare a coprire una serie di vulnerabilità abbastanza critiche riferite a Account Creation, Elevated Privileges e Account Modifications.  

Appena rilasciata la patch è stato possibile risalire, tramite le differenze di codice tra la precedente versione e quella appena rilasciata, quali erano i componenti del cms impattati. Questa operazione permette anche ad un eventuale attaccante di creare un exploit valido per sfruttare le vulnerabilità scoperte.

Secondo un articolo di Securi, una delle firme di sicurezza che si occupa di Web security, dopo appena 36 ore dal rilascio della patch, era già possibile verificare in rete attacchi che sfruttavano le vulnerabilità appena patchate.

La CVE-2016-8870 e la CVE-2016-8869 sono le vulnerabilità più critiche: la prima permette di creare un utente arbitrario sfruttando una classe utilizzata per rendere retrocompatibile il componente; la seconda consente di elevare i privilegi fino a diventare amministratore. Combinati insieme permettono la compromissione totale della piattaforma. 

Per verificare se il proprio sito è stato vittima di questo attacco è possibile cercare nei log del webserver questa stringa:

POST /index.php?option=com_users&task=user.register HTTP/1.1″

Tale stringa sta a significare che qualcuno ha tentato di creare un utente sul cms. Se ancora non avete aggiornato alla nuova versione e nel vostro log ed è presente questa stringa nei log sarebbe utile andare a controllare eventuali utenti creati recentemente e verificarne la loro attendibilità.

Tool massivo in the wild

A seguito del rilascio del primo exploit, è stata verificata in rete la presenza di alcuni tool massivi. I tool massivi si occupano di eseguire operazioni di ricerca e attacco automatiche eseguendo l’exploit sui target vulnerabili, arrivando a violare quanti più target nel minor tempo possibile. I primi attacchi sono stati effettuati da IP geolocalizzati in Romania. Uno dei tool intercettati andava a creare l’utente db_cfg con password fsugmze3.

Se non avete ancora aggiornato il vostro sito , verificate se negli utenti creati recentemente è presente “db_cfg”. In tal caso eliminatelo e eseguite delle verifiche di sicurezza sul vostro server.

Un secondo tool massivo individuato, creava utenti con username e password casuali. Tutti gli utenti creati con questa modalità avevano come pattern comune l’email ringcoslio1981@gmail.com.

Quale l’impatto dell’attacco a Joomla?

Di seguito possiamo vedere quale è stato l’impatto provocato da queste due vulnerabilità sulla rete.

exploit

Questo ci insegna che chi attacca è quasi sempre in vantaggio rispetto a chi si difende. E’ bene non eseguire gli upgrade delle versioni del proprio cms senza andare a verificare anche se c’è stata una compromissione nelle ore precedenti.

La velocità di reazione della comunità criminale rispetto a rilasci software così importanti deve insegnare a chi si difende a non escludere già dopo poche ore la possibilità di un’eventuale intrusione.

Fabio Natalucci

Cresciuto nell’underground hacker dei primi anni 2000, dove ha appreso i concetti fondamentali della cultura hacker.
Oggi è certified ethical hacker ed esperto di sicurezza informatica.
Da oltre 10 anni nel settore IT, attualmente si occupa di sicurezza informatica per una nota banca italiana.
Information security blogger per BlackBerry e InfoSec Institute è autore di diverse pubblicazioni e ricerche su vulnerabilità in ambiti Gov e Telco. Sul web cura un blog di sicurezza informatica .

Twitter LinkedIn Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Shares
Share This