La scorsa settimana Joomla ha rilasciato unaggiornamento utile a correggere due vulnerabilità critiche. Solitamente, non appena si ha notizia di una vulnerabilità, i cyber-criminali tentano l’assalto a quel software nel tentativo di bruciare sul tempo i ricercatori di sicurezza e anticipare l’uscita delle patch. In questo caso, durante un lasso di tempo di poche ore dopo l’aggiornamento, Joomla è stato letteralmente preso d’assalto.
Di che tipo di vulnerabilità parliamo?
Essenzialmente due, CVE-2016-8870 e CVE-2016-8869, di gravità critica potenzialmente sfruttabili da un utente remoto per creare un account e incrementare i propri privilegi amministrativi praticamente su ogni sito Joomla. Combinando queste vulnerabilità, gli attaccanti ottengono sufficienti poteri per caricare file backdoor e ottenere quindi il controllo completo del sito vulnerabile.
E la patch…
Visto che entrambe le vulnerabilità sono state sfruttate in the wild, Joomla ha rilasciato urgentemente due aggiornamenti che, paradossalmente, hanno prodotto l’effetto contrario a quello sperato: invece di risolvere il problema tappando le falle, sono state facilmente “saltate” tramite un processo di ingegneria inversa sulla patch stessa. Nel corso degli attacchi si è potuto verificare che sono state usate diverse tecniche di exploit contro i siti Joomla, a ribadire che vi sono nei fatti più modi per sfruttare le stesse vulnerabilità.
Gli attacchi:
Dopo meno di 24 ore, gli strumenti di monitoraggio di Sucuri hanno registrato le prime attività anomale: ping e collegamenti ai siti, quasi sicuramente in cerca delle vulnerabilità.
In meno di 36 ore Joomla è stato sommerso di tentativi di exploit, al punto che non è così inverosimile pensare che la gran parte dei siti Joomla! che non sono stati aggiornati con la patch sia compromesso.
Il grafico, disponibile sul sito Sucuri, mostra l’aumento esponenziale degli attacchi contro i siti creati con Joomla: 27.751 siti creati con Joomla sono finiti sotto attacco. Va detto che questi dati riguardano solo i siti che l’azienda può monitorare: chiaramente quindi il numero sarà più alto.
 |
| Fonte: Sucuri |
Attacco 1: entro le 24 ore dal rilascio della patch
La maggior parte dei tentativi di questo attacco sono stati finalizzati al tentativo di registrare nuovi utenti: sono stati colpiti alcuni dei siti più popolari.
Ecco come dovrebbe apparire il payload nei log del vostro sito
POST /index.php?option=com_users&task=user.register HTTP/1.1"
Attacco 2: il primo exploit di massa
Qualche ora dopo una coppia di indirizzi IP romeni ha iniziato un vero e proprio attacco a tappeto contro centinaia di siti Joomla. E’ stata tentata la creazione di un username chiamato db_fg, con password fsugmze3. Provengono dallo stesso URL con un payload:
82.77.15.204 - - [26/Oct/2016:18:09:24 -0400]
"POST /index.php/component/users/?task=user.register
user[name] = db_cfg
user[username] = db_cfg
user[password1] = fsugmze3
user[password2] = fsugmze3
Verificate quindi se esiste sul vostro sito l’username db-cfg e verificate nei log la presenza dei seguenti indirizzi IP
82.76.195.141
82.77.15.204
81.196.107.174
Poche ore dopo anche un IP dalla Lettonia ha avviato un tentativo di exploit di massa cercando di registrare nuovi username e password random su centinaia di siti Joomla. L’unico filo che ha legato queste centinaia di account registrati dallo stesso IP lettone è la mail
ringcoslio1981@gmail.com
Questo l’IP 185.129.148.216
Consigli agli amministratori:1. Aggiornate immediatamente il software.
2. Controllate i log di sistema e confrontateli con gli indirizzi IP sopra riportati e con il comando task=user.register
Nessun commento:
Posta un commento