Joomla - Krytyczna poprawka na lukę z wersji 1.5.x i nowszych
Systemy zarządzania treścią zdominowały wiele stron internetowych. Najczęściej nawet nie zdajmy sobie sprawy z tego, że odwiedzana strona nie została stworzona kompletnie od podstaw, lecz korzysta już z jakiegoś gotowego silnika. Wystarczy jednak zajrzeć w jej kod źródłowy dostępny dla przeglądarki, aby znaleźć w nim wzmianki o Wordpressie, Drupalu czy Joomli. Ten ostatni silnik jest obecnie narażony na bardzo poważne zagrożenie i administratorzy powinni przystąpić do natychmiastowej aktualizacji – znaleziono w nim błąd istniejący od przynajmniej kilku lat, a co gorsza, jest on już wykorzystywany do przeprowadzania zdalnych ataków i przejmowania stron internetowych. Jeżeli zaniedbamy aktualizacje, może to skończyć się źle zarówno dla nas, jak i naszych użytkowników.
Dziura zagraża większości witryn opartych na Joomli.
Joomla co prawda nie jest tak popularna, jak Wordpress, który opanował około 25% stron internetowych, ale nie można odmówić jej wysokiej rozpoznawalności i ciągłego rozwoju. Silnik ten trapią jednak od jakiegoś czasu coraz poważniejsze ataki. Na oficjalnej stronie projektu znajdziemy informacje o exploicie umożliwiającym nieautoryzowane wykonywanie zdalnego kodu – Joomla nie filtruje w odpowiedni sposób danych sesji przed ich zapisaniem do bazy danych, przez co umożliwia przeprowadzenie takiego ataku. Wystarczy przejście na odpowiednio spreparowaną witrynę. Większość stron nie jest natomiast zabezpieczona zaporami do filtrowania ruchu występującego w aplikacjach internetowych.
Na atak podatne są wszystkie wersje Joomli od 1.5.x aż do 3.4.5. Najwcześniejsza pojawiła się jeszcze w 2008 roku, oznacza to więc, że atak ma wysokie szanse powodzenia w przypadku milionów witryn zakładanych w różnym czasie. Niektóre z nich zapewne nie są już administrowane i nie zostaną nigdy zaktualizowane – oznacza to, że w miarę czasu padną ofiarą automatycznych botów. Exploit jest znany nie tylko badaczom, ale cyberprzestępcom. Wiadomo, że ci wykorzystują go już od przynajmniej dwóch dni i wykonują zdalne polecenia z adresów 146.0.72.83, 74.3.170.33 i 194.28.174.106. Warto zablokować dostęp do strony z ich poziomu, a także sprawdzić logi połączeń pod kątem ciągów „JDatabaseDriverMysqli” oraz „O:”, bo występują one w spreparowanych adresach. Jeżeli je znajdziemy, strona najprawdopodobniej stała się ofiarą ataku.
Starsze wersje mogą korzystać z nieoficjalnej poprawki.
Jak na razie dostępna jest poprawka dla najnowszej wersji, na stronie projektu znajdziemy paczkę o numerze 3.4.6, która poprawia ten błąd i kilka pomniejszych. Na witrynach dokumentacji Joomli umieszczono także nieoficjalne poprawki dla edycji z gałęzi 2.5.x i 1.5.x. – w przypadku braku możliwości zaktualizowania strony do nowej wersji powinniśmy z nich skorzystać.
Powiązane publikacje

AMD Noise Suppression dostępne w ramach sterowników graficznych. Do tego poprawa wydajności OpenGL w Minecraft
109
Windows 11 wciąż nie cieszy się przesadnym zainteresowaniem wśród graczy. Tak wskazuje czerwcowa ankieta Steam
213
Apple iOS 16 oraz Apple WatchOS 9 – najważniejsze nowości w systemach operacyjnych dla Apple iPhone i Apple Watch
20
Apple iPhone 14 Pro i 14 Pro Max z always-on. Jak firma wykorzysta funkcję, z której Android korzysta od lat?
17