Si vous utilisez Joomla et n'avez pas mis à jour votre site récemment, vous feriez mieux d'arrêter immédiatement ce que vous étiez en train de faire, et de le mettre à jour sur le champ. Il y a une très grave vulnérabilité dans le composant Media Manager (inclus par défaut), qui peut permettre de télécharger des fichiers malveillants sur votre site.

Les deux seules versions sûres de Joomla sont 3.1.5 et 2.5.14 . Si vous n'utilisez pas l'une ou l'autre d'entre eux, vous prenez des risques.

La vulnérabilité du téléchargement de fichier

Cette vulnérabilité est très simple à exploiter et est causée par une erreur de validation dans le composant Media Manager. C'était censé autoriser que certaines extensions soient transférées, mais si vous ajoutez un point à la fin du nom de fichier, cela permet à n'importe quoi d'être téléchargé.

joomla image uploader

Le grand danger est que cela permet à quelqu'un d'envoyer un fichier PHP vers le répertoire /images/stories/. Par exemple, backdoor.php pourrait finir dans /images/stories/backdoor.php et le pirate peut alors exécuter ce fichier comme site.com/images/stories/backdoor.php.

Donc, selon ce qui est téléchargé, cela peut donner au pirate un contrôle total de votre site. Notez qu'il existe des exploits circulant pour cette vulnérabilité, et même un module Metasploit pour cela, c'est donc un exploit très simple.

Attaques sauvages

Depuis que cette vulnérabilité a été divulguée, nous avons commencé à voir quelques entrées dans notre « Security Operation Center » (SOC) cherchant à voir si le téléchargement par com_media était activé, et si la page de soumission d'article publique était disponible. Voila ce à quoi ces requètes ressemblent dans nos journaux de logs :

IP - - [DATE] "GET /index.php?option=com_media&view=images&tmpl=component&e_name=jform_articletext"
IP - - [DATE] "GET /index.php/submit-an-article"

Depuis les 2 derniers jours ces demandes de reconnaissance sont sans cesse en augmentation. Nous avons également constaté des tentatives de compromission et de téléchargement d'un script shell malveillant dans l'un de nos pots de miel (honeypots):

IPADDRESS - - [DATE] "POST /index.php?option=com_media&task=file.upload&tmpl=component..

Suivi par une requète GET sur /images/stories/banner.php, le fichier malveillant choisi par eux.

Ainsi, même si nous ne voyons rien à grande échelle, cela commence à prendre. Si vous êtes propriétaire d'un site joomla, veuillez faire votre part et mettre à jour votre site !

article traduit de l'original (daniel Cid) : https://blog.sucuri.net/2013/08/joomla-media-manager-attacks-in-the-wild.html

Sauvegarder
Choix utilisateur pour les Cookies
Nous utilisons des cookies afin de vous proposer les meilleurs services possibles. Si vous déclinez l'utilisation de ces cookies, le site web pourrait ne pas fonctionner correctement.
Tout accepter
Tout décliner
Fonctionnels