Varnostna obvestila / 13. 12. 2012

SI-CERT 2012-15 / Napadi s poplavo podatkov z izrabo ranljivosti Joomla CMS

Opis

Na SI-CERT smo prejeli več obvestil o zaznanem DDoS napadu zoper sistem z IP 170.135.216.181 . Gre za strežnik First Bank iz ZDA. Iz prejetih podatkov je razvidno, da gre za UDP napad s poplavo podatkov, usmerjen proti vratom (port) 53 (DNS).

Analiza podatkov je pokazala, da gre za izkoriščanje že znane ranljivosti v Joomla CMS, ki omogoča vertikalno eskalacijo privilegijev. Prek izkoriščanja predmetne ranljivosti lahko napadalec pridobi pravice do spreminjanja datotek na spletnem strežniku, ter nanj odloži potrebne datoteke za izvedbo napada.

V napadu je udeleženo večje število zlorabljenih sistemov v Sloveniji.

Ranljive različice

Ranljive so različice Joomla CMS 2.5.4, 2.5.3, 2.5.2, 2.5.1, 2.5.0 in vse različice 1.7.x ter 1.6.x .

Priporočila

Ponudnikom gostovanja priporočamo, da pregledajo morebitne pretočne podatke za sledovi prometa proti IP naslovu 170.135.216.181 na vratih UDP/53. V primeru zaznanega prometa gre po vsej verjetnosti za sisteme, ki so bili udeleženi v napadu zoper spletno mesto First Bank.

Upraviteljem in skrbnikom spletnih strani, ki temeljijo na CMS sistemu Joomla svetujemo, da pregledajo CMS sistem za prisotnostjo odloženih datotek v administrativni (backend) predlogi (template) bluestork, ki se privzeto namesti skupaj z Joomla CMS. Po dosedaj zbranih informacijah je napadalec v mapo /administrator/templates/bluestork odložil datoteke:

error.php
confgic.php
cwest.php
stmdu.php
themess.php

Pozorni bodite tudi na prisotnost naslednjih datotek:

Indx.php
Kickstart.php
Stcp.php
Stph.php
Inedx.php (nepravilno črkovanje)
saerch.php (nepravilno črkovanje)

Upravitelji oziroma skrbniki naj odložene datoteke odstranijo, ter nadgradijo nameščen Joomla CMS na zadnjo različico veje. Za dokončanje obstoječih procesov spletnega strežnika svetujemo tudi ponoven zagon le-tega.

Opažen promet ali zlorabo prosimo prijavite tudi prek elektronske pošte cert@cert.si ali po telefonu (01) 479 88 22.

Povezave

Zadnja sprememba: petek, 14. december 2012, ob 13:31

Preberite tudi

Varnostna obvestila / 7. 3. 2025

SI-CERT 2025-03 / Več VMware ranljivosti

Izraba verige treh ranljivosti napadalcem omogoča prehod iz virtualnega sistema v gostiteljski sistem (t.i. VM Escape). Po podatkih proizvajalca naj bi se ranljivosti že izrabljale v posameznih napadih.

Več

Varnostna obvestila / 17. 2. 2025

SI-CERT 2025-02 / Okužbe s kombinacijo tipk v lažnih CAPTCHA preverjanjih

Zlorabljena spletna stran zahteva izpolnitev lažnega CAPTCHA obrazca prek kombinacije na tipkovnici Win + R, Ctrl + V in Enter. V primeru izvedbe teh pritiskov na tipkovnici, pride do okužbe računalnika

Več

Varnostna obvestila / 16. 1. 2025

SI-CERT 2025-01 / Prevzemi in kreiranje Telegram računov brez vednosti uporabnikov telefonskih številk

Že nekaj mesecev obravnavamo primere ustvarjanja uporabniških računov na platformi Telegram s slovenskimi telefonskimi številkami, pri čemer računov niso kreirali uporabniki teh številk. Na podoben način prihaja do prevzema obstoječih Telegram računov, ki niso zaščiteni z dodatnim geslom. Trenutno zbrane informacije kažejo, da ne gre za ciljane napade.

Več