Leider erneut Angriffe gegen Joomla / JCE

Aktuell laufen – mal wieder – Angriffe gegen Joomla, im speziellen gegen die verwundbare Komponente „com_jce“ („Joomla Content Editor“).

Dieser erlaubt durch unzureichende Eingaben-Validierung nicht nur den Upload von fremden Dateien durch Gäste, sondern auch das Umbenennen dieser hochgeladenen Dateien, um beispielsweise aus einer „.gif“-Datei eine „.php“-Datei zu machen.

Gelang es dem Angreifer, seinen Code erfolgreich zu platzieren, wird üblicherweise eine Remote Shell hochgeladen – der Angreifer hat spätestens dann die gleichen Rechte auf dem Server wie der reguläre (FTP-)Benutzer.

Betroffen sind alle Versionen des com_jce bis einschließlich 2.0.15!

Ein Angriffsversuch mit dem automatischen Exploit hinterlässt folgende Einträge im Access-Log des Webservers:

194.242.59.43 - - [05/Jan/2013:01:23:35 +0100] "POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20 HTTP/1.1" 200 552 "-" "BOT/0.1 (BOT for JCE)"
194.242.59.43 - - [05/Jan/2013:01:23:35 +0100] "POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743 HTTP/1.1 " 200 571 "-" "BOT/0.1 (BOT for JCE)"
194.242.59.43 - - [05/Jan/2013:01:23:53 +0100] "GET //images/stories/story.php HTTP/1.1" 404 487 "-" "BOT/0.1 (BOT for JCE)"

Erst wird geprüft, welche Version des JCE läuft. Anschließend erfolgt der Upload sowie die Prüfung, ob der Angriff erfolgreich war. In diesem Fall wurde die „story.php“ nicht gefunden, so dass der Angriff erfolglos blieb.

Zum Schluss noch der Aufruf, immer alle Module sowie auch das CMS selbst konstant aktuell zu halten! Die neuesten Versionen bringen nicht nur neue Funktionen, sondern beheben insbesondere die Sicherheitslücken der vorherigen Versionen!

Dieser Aufruf gilt nicht nur für Joomla und den JCE, sondern für alle Content Management Systeme wie Drupal, Typo3 oder WordPress!

Post navigation


Kommentare

  • Ingolf

    Deshalb habe ich auch (weil HP nur Hobby -> also nicht notwendig) Joomla verbannt und bin auf ein weniger verbreitetes CMS umgestiegen.
    Obwohl ich joomla schon seit einiger Zeit nicht mehr benutze, finde ich immer noch seltsame Einträge in der Access-Log. Die IP scheint aus Russland zu kommen:
    188.143.232.144 – – [11/Feb/2013:13:45:42 +0100] „GET /index.php?option=com_properties&func=result&idarea=(select/**/1/**/from(select/**/count(*),concat((select/**/username/**/from/**/jos_users/**/where/**/usertype=0x73757065722061646d696e6973747261746f72/**/limit/**/0,1),floor(rand(0)*2))x/**/from/**/information_schema.tables/**/group/**/by/**/x)a)&Itemid=1 HTTP/1.1“

    Sagt mir nicht viel, sieht aber so aus als ob da jemand in der user-table spionieren wollte!?
    Naja, wirklich sicher ist aber auch nichts.

  • Anton Dollmaier

    Sicherheitslücken können bei ALLEN CMS auftreten. Wir hatten kürzlich erst ein infiziertes MODx (SQL-Injection), eine geringere Verbreitung schützt davor gar nicht.

    Die Anfrage will per SQL-Injection Daten aus der MySQL-Datenbank auslesen und dann danach vermutlich weiter verwenden. Aber ohne installiertes Joomla bzw. das Modul com_properties wirds schwer 🙂

  • Ingolf

    Ja, sehr schwer! Danke für Info 🙂

    Also bleibt nur noch
    – von Hand, ohne CMS
    – ständig informieren, updaten, Lücken schliessen
    – Seite schliessen und Buch lesen
    ?

    Zitat:
    Zum Schluss noch der Aufruf, immer alle Module sowie auch das CMS selbst konstant aktuell zu halten!
    Zitat Ende

    So sieht es wohl aus!

Comments are closed.