Joomla a emis la jumatatea lunii decembrie un update de securitate pentru o vulnerabilitate grava (despre care am vorbit intr-un articol anterior) care afecta toate versiunile, de la 1.5.0 pana la 3.4.5.
De atunci si pana acum, compania de securitate Symantec a detectat pana la 20.000 de incercari zilnice de a exploata acea vulnerabilitate, care poate fi folosita pentru a executa cod de la distanta. Primele incercari de exploit ale acestei vulnerabilitati au aparut cu doua zile inainte ca dezvoltatorii Joomla sa emita patch-ul.
Hackerii pot folosi vulnerabilitatea pentru a compromite site-uri Joomla, pe care apoi sa gazduiasca malware, in scopul de a infecta calculatoarele vizitatorilor.
Conform expertilor in securitate, atacatorii incearca sa determine care servere sunt vulnerabile prin trimiterea de cereri HTTP si analizarea raspunsurilor primite in urma executarii functiilor precum phpinfo() sau eval(chr()).
Odata ce este identificat un server vulnerabil, atacatorii instaleaza un backdoor care le permite sa execute comenzi, sa incarce si sa descarce fisiere si sa modifice site-urile gazduite pe acel server.
Intre timp, dezvoltatorii Joomla au spus ca problema de la baza acelei vulnerabilitati o constituia un bug din PHP, eliminat in luna septembrie. A fost lansata versiunea Joomla 3.4.8 pentru a aborda aceasta problema critica si pentru a adauga un plus de securitate in fata atacurilor de tip SQLi (SQL injection).
“Singurele site-uri Joomla afectate de vulnerabilitate sunt cele gazduite pe servere cu versiuni vulnerabile de PHP. Suntem constienti de faptul ca nu toti furnizorii de hosting folosesc ultima versiune de PHP, asa ca am lansat aceasta versiune tocmai pentru a elimina problema ce tine de versiunile vulnerabile de PHP”, scrie intr-un comunicat Joomla.
