giovedì 3 novembre 2016

Joomla sotto attacco: exploit di massa e centinaia di siti sotto controllo di cyber-crminali



La scorsa settimana Joomla ha rilasciato unaggiornamento utile a correggere due vulnerabilità critiche. Solitamente, non appena si ha notizia di una vulnerabilità, i cyber-criminali tentano l’assalto a quel software nel tentativo di bruciare sul tempo i ricercatori di sicurezza e anticipare l’uscita delle patch. In questo caso, durante un lasso di tempo di poche ore dopo l’aggiornamento, Joomla è stato letteralmente preso d’assalto. 

Di che tipo di vulnerabilità parliamo?
Essenzialmente due, CVE-2016-8870 e CVE-2016-8869, di gravità critica potenzialmente sfruttabili  da un utente remoto per creare un account e incrementare i propri privilegi amministrativi praticamente su ogni sito Joomla. Combinando queste  vulnerabilità, gli attaccanti ottengono sufficienti poteri per caricare file backdoor e ottenere quindi il controllo completo del sito vulnerabile. 

E la patch…

Visto che entrambe le vulnerabilità sono state sfruttate in the wild, Joomla ha rilasciato urgentemente  due aggiornamenti che, paradossalmente, hanno prodotto l’effetto contrario a quello sperato: invece di risolvere il problema tappando le falle, sono state facilmente “saltate” tramite un processo di ingegneria inversa sulla patch stessa. Nel corso degli attacchi si è potuto verificare che sono state usate diverse tecniche di exploit contro i siti Joomla, a ribadire che  vi sono nei fatti più modi per sfruttare le stesse vulnerabilità. 

Gli attacchi: 
Dopo meno di 24 ore, gli strumenti di monitoraggio di Sucuri hanno registrato le prime attività anomale: ping e collegamenti ai siti, quasi sicuramente in cerca delle vulnerabilità. 
In meno di 36 ore Joomla è stato sommerso di tentativi di exploit, al punto che non è così inverosimile pensare che la gran parte dei siti Joomla! che non sono stati aggiornati con la patch sia compromesso.  

Il grafico, disponibile sul sito Sucuri, mostra l’aumento esponenziale degli attacchi contro i siti creati con Joomla: 27.751 siti creati con Joomla sono finiti sotto attacco. Va detto che questi dati riguardano solo i siti che l’azienda può monitorare: chiaramente quindi il numero sarà più alto.


Fonte: Sucuri


Attacco 1: entro le 24 ore dal rilascio della patch
La maggior parte dei tentativi di questo attacco sono stati finalizzati al tentativo di registrare nuovi  utenti: sono stati colpiti alcuni dei siti più popolari.
Ecco come dovrebbe apparire il payload nei log del vostro sito

POST /index.php?option=com_users&task=user.register HTTP/1.1"

Attacco 2: il primo exploit di massa
Qualche ora dopo una coppia di indirizzi IP romeni ha iniziato un vero e proprio attacco a tappeto contro centinaia di siti Joomla.  E’ stata tentata la creazione di un username chiamato db_fg, con password fsugmze3. Provengono dallo stesso URL con un payload:

82.77.15.204 - - [26/Oct/2016:18:09:24 -0400]
"POST /index.php/component/users/?task=user.register
  user[name] = db_cfg
  user[username] = db_cfg
  user[password1] = fsugmze3
  user[password2] = fsugmze3

Verificate quindi se esiste sul vostro sito l’username db-cfg e verificate nei log la presenza  dei seguenti indirizzi IP

82.76.195.141
82.77.15.204
81.196.107.174

Poche ore dopo anche un IP dalla Lettonia ha avviato un tentativo di exploit di massa cercando di registrare nuovi username e password random su centinaia di siti Joomla. L’unico filo che ha legato queste centinaia di account registrati dallo stesso IP lettone è la mail

ringcoslio1981@gmail.com

Questo l’IP 185.129.148.216

Consigli agli amministratori:1. Aggiornate immediatamente il software.
2. Controllate i log di sistema e confrontateli con gli indirizzi IP sopra riportati e con il comando task=user.register

Nessun commento:

Posta un commento