Joomla - Krytyczna poprawka na lukę z wersji 1.5.x i nowszych

Systemy zarządzania treścią zdominowały wiele stron internetowych. Najczęściej nawet nie zdajmy sobie sprawy z tego, że odwiedzana strona nie została stworzona kompletnie od podstaw, lecz korzysta już z jakiegoś gotowego silnika. Wystarczy jednak zajrzeć w jej kod źródłowy dostępny dla przeglądarki, aby znaleźć w nim wzmianki o Wordpressie, Drupalu czy Joomli. Ten ostatni silnik jest obecnie narażony na bardzo poważne zagrożenie i administratorzy powinni przystąpić do natychmiastowej aktualizacji – znaleziono w nim błąd istniejący od przynajmniej kilku lat, a co gorsza, jest on już wykorzystywany do przeprowadzania zdalnych ataków i przejmowania stron internetowych. Jeżeli zaniedbamy aktualizacje, może to skończyć się źle zarówno dla nas, jak i naszych użytkowników.

Dziura zagraża większości witryn opartych na Joomli.

Joomla co prawda nie jest tak popularna, jak Wordpress, który opanował około 25% stron internetowych, ale nie można odmówić jej wysokiej rozpoznawalności i ciągłego rozwoju. Silnik ten trapią jednak od jakiegoś czasu coraz poważniejsze ataki. Na oficjalnej stronie projektu znajdziemy informacje o exploicie umożliwiającym nieautoryzowane wykonywanie zdalnego kodu – Joomla nie filtruje w odpowiedni sposób danych sesji przed ich zapisaniem do bazy danych, przez co umożliwia przeprowadzenie takiego ataku. Wystarczy przejście na odpowiednio spreparowaną witrynę. Większość stron nie jest natomiast zabezpieczona zaporami do filtrowania ruchu występującego w aplikacjach internetowych.

Na atak podatne są wszystkie wersje Joomli od 1.5.x aż do 3.4.5. Najwcześniejsza pojawiła się jeszcze w 2008 roku, oznacza to więc, że atak ma wysokie szanse powodzenia w przypadku milionów witryn zakładanych w różnym czasie. Niektóre z nich zapewne nie są już administrowane i nie zostaną nigdy zaktualizowane – oznacza to, że w miarę czasu padną ofiarą automatycznych botów. Exploit jest znany nie tylko badaczom, ale cyberprzestępcom. Wiadomo, że ci wykorzystują go już od przynajmniej dwóch dni i wykonują zdalne polecenia z adresów 146.0.72.83, 74.3.170.33 i 194.28.174.106. Warto zablokować dostęp do strony z ich poziomu, a także sprawdzić logi połączeń pod kątem ciągów „JDatabaseDriverMysqli” oraz „O:”, bo występują one w spreparowanych adresach. Jeżeli je znajdziemy, strona najprawdopodobniej stała się ofiarą ataku.

Starsze wersje mogą korzystać z nieoficjalnej poprawki.

Jak na razie dostępna jest poprawka dla najnowszej wersji, na stronie projektu znajdziemy paczkę o numerze 3.4.6, która poprawia ten błąd i kilka pomniejszych. Na witrynach dokumentacji Joomli umieszczono także nieoficjalne poprawki dla edycji z gałęzi 2.5.x i 1.5.x. – w przypadku braku możliwości zaktualizowania strony do nowej wersji powinniśmy z nich skorzystać.