Skoči na vsebino

SI-CERT 2012-15 / Napadi s poplavo podatkov z izrabo ranljivosti Joomla CMS

Opis

Na SI-CERT smo prejeli več obvestil o zaznanem DDoS napadu zoper sistem z IP 170.135.216.181 . Gre za strežnik First Bank iz ZDA. Iz prejetih podatkov je razvidno, da gre za UDP napad s poplavo podatkov, usmerjen proti vratom (port) 53 (DNS). 

Analiza podatkov je pokazala, da gre za izkoriščanje že znane ranljivosti v Joomla CMS, ki omogoča vertikalno eskalacijo privilegijev. Prek izkoriščanja predmetne ranljivosti lahko napadalec pridobi pravice do spreminjanja datotek na spletnem strežniku, ter nanj odloži potrebne datoteke za izvedbo napada.

V napadu je udeleženo večje število zlorabljenih sistemov v Sloveniji.

Ranljive različice

Ranljive so različice Joomla CMS 2.5.4, 2.5.3, 2.5.2, 2.5.1, 2.5.0 in vse različice 1.7.x ter 1.6.x .

Priporočila

Ponudnikom gostovanja priporočamo, da pregledajo morebitne pretočne podatke za sledovi prometa proti IP naslovu 170.135.216.181 na vratih UDP/53. V primeru zaznanega prometa gre po vsej verjetnosti za sisteme, ki so bili udeleženi v napadu zoper spletno mesto First Bank.

Upraviteljem in skrbnikom spletnih strani, ki temeljijo na CMS sistemu Joomla svetujemo, da pregledajo CMS sistem za prisotnostjo odloženih datotek v administrativni (backend) predlogi (template) bluestork, ki se privzeto namesti skupaj z Joomla CMS. Po dosedaj zbranih informacijah je napadalec v mapo /administrator/templates/bluestork odložil datoteke:

  • error.php
  • confgic.php
  • cwest.php
  • stmdu.php
  • themess.php

Pozorni bodite tudi na prisotnost naslednjih datotek:

  • Indx.php
  • Kickstart.php
  • Stcp.php
  • Stph.php
  • Inedx.php (nepravilno črkovanje)
  • saerch.php (nepravilno črkovanje)

Upravitelji oziroma skrbniki naj odložene datoteke odstranijo, ter nadgradijo nameščen Joomla CMS na zadnjo različico veje. Za dokončanje obstoječih procesov spletnega strežnika svetujemo tudi ponoven zagon le-tega.

Opažen promet ali zlorabo prosimo prijavite tudi prek elektronske pošte cert@cert.si ali po telefonu (01) 479 88 22.

Povezave

Zadnja sprememba: petek, 14. december 2012, ob 13:31

Preberite tudi

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več

SI-CERT 2024-01 / Ranljivosti Ivanti Connect Secure VPN

Ivanti je obvestil o dveh 0-day ranljivostih v Ivanti Connect Secure VPN (v preteklosti Ivanti Pulse Secure). Izraba verige ranljivosti omogoča neavtenticiranemu uporabniku izvajanje poljubnih ukazov na sistemu.
Več

SI-CERT 2023-06 / Zlorabe Cisco IOS XE naprav

Cisco IOS XE naprave, ki imajo dostopen spletni vmesnik (Web UI) so ranljive in omogočajo storilcem zagon poljubne kode na njih. Ranljivost se trenutno aktivno izkorišča.
Več