JMailBreaker: una nuova vulnerabilità trasforma Joomla! in una piattaforma per distribuire spam e phishing

JMailBreaker: una nuova vulnerabilità trasforma Joomla! in una piattaforma per distribuire spam e phishing

Si chiama JMailBreaker la vulnerabilità scoperta da Check Point Research che permette di trasformare qualunque server Joomla! non adeguatamente protetto in una piattaforma per diffondere spam e phishing

di pubblicata il , alle 14:01 nel canale Sicurezza
 

Check Point Research, branca dedita alla ricerca di Check Point Software Technologies, ha annunciato di aver scoperto una vulnerabilità in Joomla!, uno dei CMS più usati al mondo dopo WordPress. Tale vulnerabilità consente a un attaccante di modificare i permessi e potenzialmente inserire una backdoor nel sistema.

Alterando l'intestazione riguardante lo user agent nelle richieste HTTP, un attaccante può infatti sovrascrivere le impostazioni del servizio JMail esistente e quindi prendere il controllo del servizio. In questo modo può inviare email a proprio piacimento, utilizzandole per lo spam ma anche per il phishing. Ciò avviene in particolare nel caso in cui il servizio non sia stato protetto con misure di sicurezza adeguate.

È attualmente in corso una campagna a opera di Alarg53, attore già al centro di più di 15.000 casi di cracking, ma in questo caso l'attaccante è passato al livello successivo dal momento che ha cominciato a utilizzare la propria attività di cracker per guadagnare del danaro, mentre si limitava a operazioni ideologiche in passato. Alarg53 sta infatti creando una vera e propria infrastruttura distribuita per diffondere spam e phishing.

È possibile ottenere ulteriori dettagli sul blog di Check Point.

Aggiornamento: il Progetto Joomla! ha pubblicato un articolo sul proprio blog in cui contesta la bontà delle dichiarazioni di Check Point, affermando che la vulnerabilità sarebbe di PHP e non di Joomla! stesso e che, per di più, sarebbe vecchia di più di tre anni. È stata comunque emanata una patch per mitigare il problema, dunque solo utilizzando versioni di Joomla! e di PHP più vecchie di tre anni si riuscirebbe a portare a termine l'attacco illustrato da Check Point. Il progetto afferma che non ci sarebbe poi una sovrascrittura dei file come affermato da Check Point, ma un uso di file appartenenti al core di Joomla! ma modificati ad hoc; usando file con lo stesso nome e con contenuti simili si nasconde più facilmente la backdoor. La conclusione del Progetto Joomla! è che non si tratti di una vulnerabilità attualmente sfruttabile se si è aggiornato PHP o Joomla! negli ultimi tre anni.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
sniper_red07 Marzo 2019, 14:22 #1
Non e' proprio cosi, non hanno scoperto nulla, solo fatto un report
https://www.joomla.it/notizie/8993-...heck-point.html
cit "Un attacco riuscirebbe esclusivamente in caso di utilizzo di versioni PHP e Joomla che siano più vecchie di 3 anni"

Il report relativo ad una ricerca di Check Point è stato portato all'attenzione del team di Joomla relativamente ad una vulnerabilità di sicurezza che è stata corretta nel lontano Dicembre 2015. Questo report è stato anche ripreso da Threat Post.

per piacere, correggete, perche' tanti usano Joomla

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^