Skoči na vsebino

SI-CERT 2012-15 / Napadi s poplavo podatkov z izrabo ranljivosti Joomla CMS

Opis

Na SI-CERT smo prejeli več obvestil o zaznanem DDoS napadu zoper sistem z IP 170.135.216.181 . Gre za strežnik First Bank iz ZDA. Iz prejetih podatkov je razvidno, da gre za UDP napad s poplavo podatkov, usmerjen proti vratom (port) 53 (DNS). 

Analiza podatkov je pokazala, da gre za izkoriščanje že znane ranljivosti v Joomla CMS, ki omogoča vertikalno eskalacijo privilegijev. Prek izkoriščanja predmetne ranljivosti lahko napadalec pridobi pravice do spreminjanja datotek na spletnem strežniku, ter nanj odloži potrebne datoteke za izvedbo napada.

V napadu je udeleženo večje število zlorabljenih sistemov v Sloveniji.

Ranljive različice

Ranljive so različice Joomla CMS 2.5.4, 2.5.3, 2.5.2, 2.5.1, 2.5.0 in vse različice 1.7.x ter 1.6.x .

Priporočila

Ponudnikom gostovanja priporočamo, da pregledajo morebitne pretočne podatke za sledovi prometa proti IP naslovu 170.135.216.181 na vratih UDP/53. V primeru zaznanega prometa gre po vsej verjetnosti za sisteme, ki so bili udeleženi v napadu zoper spletno mesto First Bank.

Upraviteljem in skrbnikom spletnih strani, ki temeljijo na CMS sistemu Joomla svetujemo, da pregledajo CMS sistem za prisotnostjo odloženih datotek v administrativni (backend) predlogi (template) bluestork, ki se privzeto namesti skupaj z Joomla CMS. Po dosedaj zbranih informacijah je napadalec v mapo /administrator/templates/bluestork odložil datoteke:

  • error.php
  • confgic.php
  • cwest.php
  • stmdu.php
  • themess.php

Pozorni bodite tudi na prisotnost naslednjih datotek:

  • Indx.php
  • Kickstart.php
  • Stcp.php
  • Stph.php
  • Inedx.php (nepravilno črkovanje)
  • saerch.php (nepravilno črkovanje)

Upravitelji oziroma skrbniki naj odložene datoteke odstranijo, ter nadgradijo nameščen Joomla CMS na zadnjo različico veje. Za dokončanje obstoječih procesov spletnega strežnika svetujemo tudi ponoven zagon le-tega.

Opažen promet ali zlorabo prosimo prijavite tudi prek elektronske pošte cert@cert.si ali po telefonu (01) 479 88 22.

Povezave

Zadnja sprememba: petek, 14. december 2012, ob 13:31

Preberite tudi

SI-CERT 2023-02 / Zloraba dobavne verige: 3CX Electron DesktopApp

Povzetek Podjetje 3CX je izdalo varnostno opozorilo za aplikacijo 3CX Electron DesktopApp. Gre za programski telefon (softphone), katerega zlorabo so podrobneje raziskali in potrdili tudi pri podjetjih SentielOne in CrowdStrike. Gre …
Več

SI-CERT 2023-01 / Uhajanje NTLM poverilnic preko Outlook ranljivosti

Microsoft je zaznal aktivno izkoriščanje ranljivosti, ki napadalcu prek poštnega sporočila naslovljenega prejemniku, ki uporablja Outlook, omogoča krajo NTLM zgoščene vrednosti prejemnikovega gesla za prijavo v Windows
Več

SI-CERT 2022-07 / Ranljivost Citrix ADC in Citrix Gateway

Objavljeno: 14.12.2022 Povzetek Citrix Gateway in Citrix ADC (Application Delivery Controller) vsebujeta kritično ranljivost, ki neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Uradni popravki so že na voljo. Ranljivost se …
Več