Skoči na vsebino

SI-CERT 2012-15 / Napadi s poplavo podatkov z izrabo ranljivosti Joomla CMS

Opis

Na SI-CERT smo prejeli več obvestil o zaznanem DDoS napadu zoper sistem z IP 170.135.216.181 . Gre za strežnik First Bank iz ZDA. Iz prejetih podatkov je razvidno, da gre za UDP napad s poplavo podatkov, usmerjen proti vratom (port) 53 (DNS). 

Analiza podatkov je pokazala, da gre za izkoriščanje že znane ranljivosti v Joomla CMS, ki omogoča vertikalno eskalacijo privilegijev. Prek izkoriščanja predmetne ranljivosti lahko napadalec pridobi pravice do spreminjanja datotek na spletnem strežniku, ter nanj odloži potrebne datoteke za izvedbo napada.

V napadu je udeleženo večje število zlorabljenih sistemov v Sloveniji.

Ranljive različice

Ranljive so različice Joomla CMS 2.5.4, 2.5.3, 2.5.2, 2.5.1, 2.5.0 in vse različice 1.7.x ter 1.6.x .

Priporočila

Ponudnikom gostovanja priporočamo, da pregledajo morebitne pretočne podatke za sledovi prometa proti IP naslovu 170.135.216.181 na vratih UDP/53. V primeru zaznanega prometa gre po vsej verjetnosti za sisteme, ki so bili udeleženi v napadu zoper spletno mesto First Bank.

Upraviteljem in skrbnikom spletnih strani, ki temeljijo na CMS sistemu Joomla svetujemo, da pregledajo CMS sistem za prisotnostjo odloženih datotek v administrativni (backend) predlogi (template) bluestork, ki se privzeto namesti skupaj z Joomla CMS. Po dosedaj zbranih informacijah je napadalec v mapo /administrator/templates/bluestork odložil datoteke:

  • error.php
  • confgic.php
  • cwest.php
  • stmdu.php
  • themess.php

Pozorni bodite tudi na prisotnost naslednjih datotek:

  • Indx.php
  • Kickstart.php
  • Stcp.php
  • Stph.php
  • Inedx.php (nepravilno črkovanje)
  • saerch.php (nepravilno črkovanje)

Upravitelji oziroma skrbniki naj odložene datoteke odstranijo, ter nadgradijo nameščen Joomla CMS na zadnjo različico veje. Za dokončanje obstoječih procesov spletnega strežnika svetujemo tudi ponoven zagon le-tega.

Opažen promet ali zlorabo prosimo prijavite tudi prek elektronske pošte cert@cert.si ali po telefonu (01) 479 88 22.

Povezave

Zadnja sprememba: petek, 14. december 2012, ob 13:31

Preberite tudi

SI-CERT 2024-03 / Kraje sredstev iz mobilnih bank preko okužbe z virusom Anatsa

Zlonamerne aplikacije, ki so bile na voljo v Google Play trgovini, omogočajo krajo sredstev iz mobilnih bank.
Več

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več

SI-CERT 2024-01 / Ranljivosti Ivanti Connect Secure VPN

Ivanti je obvestil o dveh 0-day ranljivostih v Ivanti Connect Secure VPN (v preteklosti Ivanti Pulse Secure). Izraba verige ranljivosti omogoča neavtenticiranemu uporabniku izvajanje poljubnih ukazov na sistemu.
Več