Skoči na vsebino

SI-CERT 2012-15 / Napadi s poplavo podatkov z izrabo ranljivosti Joomla CMS

Opis

Na SI-CERT smo prejeli več obvestil o zaznanem DDoS napadu zoper sistem z IP 170.135.216.181 . Gre za strežnik First Bank iz ZDA. Iz prejetih podatkov je razvidno, da gre za UDP napad s poplavo podatkov, usmerjen proti vratom (port) 53 (DNS). 

Analiza podatkov je pokazala, da gre za izkoriščanje že znane ranljivosti v Joomla CMS, ki omogoča vertikalno eskalacijo privilegijev. Prek izkoriščanja predmetne ranljivosti lahko napadalec pridobi pravice do spreminjanja datotek na spletnem strežniku, ter nanj odloži potrebne datoteke za izvedbo napada.

V napadu je udeleženo večje število zlorabljenih sistemov v Sloveniji.

Ranljive različice

Ranljive so različice Joomla CMS 2.5.4, 2.5.3, 2.5.2, 2.5.1, 2.5.0 in vse različice 1.7.x ter 1.6.x .

Priporočila

Ponudnikom gostovanja priporočamo, da pregledajo morebitne pretočne podatke za sledovi prometa proti IP naslovu 170.135.216.181 na vratih UDP/53. V primeru zaznanega prometa gre po vsej verjetnosti za sisteme, ki so bili udeleženi v napadu zoper spletno mesto First Bank.

Upraviteljem in skrbnikom spletnih strani, ki temeljijo na CMS sistemu Joomla svetujemo, da pregledajo CMS sistem za prisotnostjo odloženih datotek v administrativni (backend) predlogi (template) bluestork, ki se privzeto namesti skupaj z Joomla CMS. Po dosedaj zbranih informacijah je napadalec v mapo /administrator/templates/bluestork odložil datoteke:

  • error.php
  • confgic.php
  • cwest.php
  • stmdu.php
  • themess.php

Pozorni bodite tudi na prisotnost naslednjih datotek:

  • Indx.php
  • Kickstart.php
  • Stcp.php
  • Stph.php
  • Inedx.php (nepravilno črkovanje)
  • saerch.php (nepravilno črkovanje)

Upravitelji oziroma skrbniki naj odložene datoteke odstranijo, ter nadgradijo nameščen Joomla CMS na zadnjo različico veje. Za dokončanje obstoječih procesov spletnega strežnika svetujemo tudi ponoven zagon le-tega.

Opažen promet ali zlorabo prosimo prijavite tudi prek elektronske pošte cert@cert.si ali po telefonu (01) 479 88 22.

Povezave

Zadnja sprememba: petek, 14. december 2012, ob 13:31

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več