Η ομάδα ασφαλείας του Joomla διόρθωσε ένα εξαιρετικά κρίσιμο zero-day bug, το οποίο φαίνεται να έχει ήδη χρησιμοποιηθεί για να θέσει σε κίνδυνο και να πάρει τον έλεγχο Joomla ιστοσελίδων.
Πριν από κάποιες ώρες η ομάδα ασφάλειας του Jοοmla κυκλοφόρησε την έκδοση 3.4.6, μαζί με patches ασφαλείας για τις παλαιότερες εκδόσεις του CMS, ακόμη και αν ορισμένες από αυτές έχουν φτάσει το EoL (End of Life) και δεν υποστηρίζονται επίσημα πια.
Ο λόγος πίσω από αυτό την ασυνήθιστη ενημέρωση ασφάλειας είναι ένα κρίσιμο zero-day bug που επιτρέπει στους επιτιθέμενους να εισάγουν κώδικα στη βάση δεδομένων του Joοmla και αργότερα να τον εκτελέσουν.
Το σημείο εισόδου για τον κακόβουλο κώδικα είναι το user agent string, το οποίο διαφημίζεται από τον browser του κάθε επισκέπτη της ιστοσελίδας, για να αφήσει τις ιστοσελίδες να γνωρίσουν τις κατάλληλες τεχνικές για τον κάθε χρήστη ώστε να του παραδώσει την καλύτερη ή την πιο κατάλληλη έκδοση του site.
Προφανώς, αυτό το string αποθηκεύεται στη βάση δεδομένων του Joοmla, αλλά δεν είναι σωστά ρυθμισμένο για την ανίχνευση κακόβουλου κώδικα.
Με τη βοήθεια των ειδικών εφαρμογών και scripts που μπορούν να μεταδώσουν ψεύτικα user agent strings, οι επιτιθέμενοι μπορούν πολύ εύκολα να δημιουργήσουν ένα προσαρμοσμένο string και να επισυνάψουν κακόβουλο κώδικα σε αυτό.
Οι ειδικοί ασφαλείας από το Sucuri ισχυρίζονται ότι έχουν παρατηρηθεί επιθέσεις που αξιοποιούν αυτήν την τεχνική.
Οι πρώτες επιθέσεις ξεκίνησαν στις 12 Δεκεμβρίου, αλλά «μέχρι και σήμερα, το κύμα των επιθέσεων είναι ακόμα μεγαλύτερο, με ουσιαστικά κάθε site και honeypot να έχει δεχθεί επίθεση. Αυτό σημαίνει ότι κατά πάσα πιθανότητα κάθε άλλη ιστοσελίδα Joomla εκεί έξω έχει γίνει και αυτή στόχος», δήλωσε ο Ντάνιελ Cid, Ιδρυτής και CTO της Sucuri.
Για τον μετριασμό του κινδύνου, ο κύριος Cid συμβουλεύει τους ιδιοκτήτες ιστοσελίδων να ενημερώσουν τις εκδόσεις τους το συντομότερο δυνατόν με την έκδοση 3.4.6 ή τα patches ασφαλείας που προσφέρονται από την ομάδα του Jοomla. Όλες οι εκδόσεις του CMS, ξεκινώντας από την 1.5.x, είναι αυτές που πλήττονται.
Επιπλέον, για να δουν αν έχουν παραβιαστεί, οι webmasters πρέπει να ψάξουν τα αρχεία καταγραφής (logs) τους για αιτήματα από τα 146.0.72.83, 74.3.170.33 ή 194.28.174.106, απ’ όπου προήλθαν οι περισσότερες από τις επιθέσεις μέχρι σήμερα. Το κακόβουλο user agent string περιέχει τα strings: “JDatabaseDriverMysqli” ή “O”.
Η τελευταία έκδοση του Joomla CMS είναι διαθέσιμη στο Github. Οι ενημερωμένες εκδόσεις κώδικα ασφαλείας για τις παλαιότερες εκδόσεις του Joomla μπορούν να βρεθούν στις σελίδες τεκμηρίωσης του Joomla.
