Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/12/2012
Portales con Joomla! abusados para desplegar malware
Desde hace varios dias se están detectando oleadas de ataques que introducen código malicioso en los portales construidos con Joomla!, uno de los gestores de contenidos más utilizados actualmente. Al comprometer los portales web, cualquier usuario que los visite puede resultar infectado.
Un informe del Internet Storm Center indica que un gran número de portales web construidos con Joomla! están distribuyendo código malicioso e infectando a los visitantes con malware. También están infectados algunos portales con Wordpress, aunque en menor medida. Desde CERT-Bund, el CERT estatal alemán, también se ha informado de que existen portales web en Alemania que están sufriendo ataques similares.
Según indica Thomas Hungenberg, desde hace varios días se están detectando sitios vulnerables que han sido explotados para infectar ordenadores con falsos antivirus, mediante un exploit kit. Para infectar los equipos, los atacantes incluyen un iFrame en los portales que redirige al Sutra Traffic Distribution System, para finalmente redirigir el usuario a un exploit kit. Hasta hace poco, las URL acababan en /nighttrend.cgi?8, pero en las últimas horas se han detectado otras URL como: hxxp://kwydcpkq.qhigh.com/gjgdyrzd77.cgi?8
Las infecciones a los portales se consiguieron, probablemente, con un script automatizado que explota vulnerabilidades conocidas en un módulo de Joomla! conocido como Joomla Content Editor. El script inyecta en el servidor código PHP enmascarado como una imagen GIF, que posteriormente puede ser ejecutado por el atacante. El código inyectado es una shell PHP (se suele encontrar en /images/stories/story.php), que se utiliza para infectar ficheros JavaScript del servidor añadiendo nuevos iFrame. Algunos de los ficheros más comunmente infectados son /media/system/js/mootools.js y /media/system/js/caption.js.
Según parece, los criminales han empezado a hacer caja, utilizando varios modelos de negocio que permiten convertir los servidores comprometidos en dinero.
Los administradores de portales Joomla! deben comprobar si tienen instalado Joomla Content Editor en sus servidores y, en su caso, deberían actualizar a la versión más actual: JCE 2.3.1. Si se dispone de una versión antigua, es recomendable comprobar los ficheros JavaScript en busca de iFrame maliciosos. Se puede utilizar el siguiente comando como ayuda: "find . -print0 -name \*.js | xargs -0 grep -i iframe".
Esta instrucción no cubre todas las posibles variantes, ya que los iFrame maliciosos se pueden insertar de otros modos.