O noua vulnerabilitate in Joomla – user priviledge escalation

O noua vulnerabilitate sau mai degraba mod de exploatare se pare ca a fost descoperita in Joomla, in acest moment ea fiind discutata pe forumul Joomla ( http://forum.joomla.org/viewtopic.php?f=621&t=737503 ).

Cei de la Joomla, in special “Joomla! Security Strike Team” – cei care se ocupa de problemele de securitate ale CMS-ului, inca nu au o pozitie oficiala insa tot mai multi administratori de servere se confrunta cu probleme generate de aceasta vulnerabilitate din Joomla.

In ce consta aceasta vulnerabilitate? Permite unui user simplu, inregistrat in Joomla, sa isi mareasca singur privilegiile, devenind astfel super-administrator, folosind actiuni de tip POST /administrator/index.php?option=com_templates&layout=edit si/sau GET /administrator/index.php?option=com_templates&view=source&layout=edit

Cum este folosita vulnerabilitatea ? Odata devenit super-administrator, de cele mai multe ori hackerul uploadeaza/editeaza fisiere din directorul temei default (bluestork in cele mai multe cazuri) si folosind aceste fisiere lanseaza atacuri de tip DDOS catre alte tinte/servere dedicate/siteuri. In foarte multe cazuri, usernameul folosit de hacker a fost “alexaalexa”.

Fisierele uploadate in folderul /administrator/templates/bluestork/ : – error.php – fisier care se pare ca este doar editat de catre hacker dupa ce a devenit administrator si folosit pentru uploadul a inca doua fisiere: stph.php si indx.php care sunt folosite pentru lansarea atacului DDOS si pentru oprirea unor servicii pe server

Ce se poate face ? Singura solutie pana in acest moment la indemana celor care folosesc Joomla este upgradeul la ultima versiune stabila 2.5.6 cae se pare ca nu sufera de aceasta vulnerabilitate.
Pentru celelalte versiuni pana in 2.5.6 cei de la Joomla nu au scos o solutie momentan.

Toti cei care folosesc serviciile de web hosting de la megahost.ro sunt rugati sa isi faca upgrade de urgenta la ultima versiune stabila de Joomla. Mentionam ca nu exista o metoda de prevenire/oprire a acestei vulnerabilitati la nivel de server pentru ca ea rezida in motorul ce se afla in spatele Joomla, in interfata de administrare.

Practic din punct de vedere strict al securitatii serverului, hackerul nu face nimic ilegal (brute-force, port scanning, etc) ci se inregistreaza pur si simplu legal. Problema este de obicei detectata cand incepe atacul DDoS.