Vulnerabilidad en Joomla, crítica y 0-day

0

Sucuri ha publicado recientemente un aviso sobre gran cantidad de ciberataques a sitios web con plataforma Joomla -un conocido CMS- lo que les ha llevado a su vez a descubrir de dónde venía tanto “barullo”. Tenemos entre manos una nueva vulnerabilidad en Joomla, concretamente una desconocida o 0-Day.

Vulnerabilidad en Joomla

Lo primero es lo primero: aquí tenéis el parche de seguridad para Joomla, que con suerte conseguirá corregir a tiempo la vulnerabilidad que permite la ejecución remota de código que afecta a todas las versiones entre la 1.5 y la 3.4

Nueva vulnerabilidad en Joomla

Esta es una vulnerabilidad impotante, pues podría ser fácilmente aprovechada y de hecho ya lo está siendo. Si utilizas este CMS en tu sitio web, debes actualizar ahora mismo.

Versiones Joomla 1.5 a 2.5

Si aún utilizas las versiones mencionadas -ya sin soporte- de Joomla, deberías aplicar estos parches. Aquí puedes encontrar instrucciones sobre cómo hacerlo.

Desde el día 14 de Diciembre está siendo explotada esta vulnerabilidad en Joomla, es decir, 2 días antes de que un parche estuviera disponible. Es importante actuar muy rápido en estos casos para evitar daños.

Los chicos de Sucuri encontraron un exploit aprovechando esta vulnerabilidad ya el día 12 de Diciembre a las 4:49 horas:

2015 Dec 12 16:49:07 clienyhidden.access.log
Src IP: 74.3.170.33 / CAN / Alberta
74.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1” 403 5322 “http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: ..
{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:..
{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:..

Modificaron la carga del exploit para que no surtiera efecto, pero los atacantes están inyectando el objeto vía Agente de Usuario (user agent) en las máquinas, algo que les da total libertad total de ejecución.

Se detectaron múltiples exploits desde la misma dirección IP: 74.3.170.33 el día 12 de Diciembre, seguido de cientos de nuevos intentos de explotación desde 146.0.72.83194.28.174.106 el dia siguiente.

El día 14, los ataques siguieron creciendo en intensidad, con todos los sitios y honeypots establecidos por Sucuri recibiendo ataques. Esto podemos extrapolarlo a casi cualquier instalación de Joomla a nivel mundial.

Protege tu instalación de Joomla

Si utilizas Joomla, vigila tus logs ahora. Busca solicitudes entrantes desde:

  • 146.0.72.83
  • 74.3.170.33
  • 194.28.174.106

Además, deberías buscar en tus registros solicitudes hacia JDatabaseDriverMysqli en el User Agent, pues ha sido utilizado ampliamente en los exploits.

Valora y comparte!

  • User Ratings (1 Votes)
    7.9
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR