Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/12/2012
Portals amb Joomla! abusats per a desplegar malware
Des de fa diversos dies s’estan detectant onades d’atacs que introduïxen codi maliciós en els portals construïts amb Joomla!, un dels gestors de continguts més utilitzats actualment. Al comprometre els portals web, qualsevol usuari que els visite pot resultar infectat.
Un informe de l’Internet Storm Center indica que un gran nombre de portals web construïts amb Joomla! estan distribuint codi maliciós i infectant els visitants amb programari maliciós. També estan infectats alguns portals amb Wordpress, encara que en menor grau. Des de CERT-Bund, el CERT estatal alemany, també s’ha informat que hi ha portals web a Alemanya que estan patint atacs semblants.
Segons indica Thomas Hungenberg, des de fa uns quants dies s’estan detectant llocs vulnerables que han sigut explotats per a infectar ordinadors amb falsos antivirus, per mitjà d’un exploit kit. Per a infectar els equips, els atacants inclouen un iFrame en els portals que redirigix al Sutra Traffic Distribution System, per a finalment redirigir l’usuari a un exploit kit. Fins fa poc, les URL acabaven en /nighttrend.cgi?8, però en les últimes hores s’han detectat altres URL com: hxxp://kwydcpkq.qhigh.com/gjgdyrzd77.cgi?8
Les infeccions en els portals s'han aconseguit, probablement, amb un script automatitzat, que explota vulnerabilitats conegudes en un mòdul de Joomla! conegut com Joomla Content Editor. L'script injecta en el servidor codi PHP emmascarat una mena d'imatge GIF, que posteriorment pot ser executat per l’atacant. El codi injectat és una shell PHP (se sol trobar en /images/stories/story.php), que s’utilitza per a infectar fitxers JavaScript del servidor afegint nous iFrame. Alguns dels fitxers més sovint infectats són /media/system/js/mootools.js i /media/system/js/caption.js.
Segons pareix, els criminals han començat a fer caixa, utilitzant diversos models de negoci que permeten convertir els servidors compromesos en diners.
Els administradors de portals Joomla! han de comprovar si tenen instal·lat Joomla Content Editor en els servidors i, si és el cas, haurien d’actualitzar a la versió més actual: JCE 2.3.1. Si es disposa d’una versió antiga, és recomanable comprovar els fitxers JavaScript en busca d’iFrame maliciosos. Es pot utilitzar el següent comando com a ajuda: "find . -print0 -name \*.js | xargs -0 grep -i iframe".
Esta instrucció no cobrix totes les possibles variants, ja que els iFrame maliciosos es poden inserir d’altres maneres.