Vulnerabilità critica scoperta su Joomla SQL: milioni di siti a rischio hack

Vulnerabilità critica scoperta su Joomla SQL: milioni di siti a rischio hack

Tutti i siti web basati su Joomla 3.2 o successivi sono vulnerabili ad un grave bug SQL-injection, corretto dalla società con una patch rilasciata lo scorso giovedì da installare immediatamente

di Nino Grasso pubblicata il , alle 17:01 nel canale Web
 

Milioni di siti web usati per l'e-commerce o altri settori sensibili potrebbero essere a rischio hack per via di una vulnerabilità critica sul CMS Joomla. Il bug consentirebbe il take-over dei server e sembrerebbe presente sul sistema di gestione dei contenuti da quasi due anni. La vulnerabilità di tipo "SQL-injection" è stata comunque rimossa lo scorso giovedì con il rilascio della versione 3.4.5, e tutti i gestori di siti web basati su Joomla dovrebbero premurarsi ad effettuare l'aggiornamento.

Il bug permette ad eventuali aggressori l'esecuzione di codice malevolo sui server che usano Joomla, ed è stato introdotto all'interno della versione 3.2 rilasciata nel mese di novembre 2013. Si stima che siano circa 2,8 milioni i siti web che utilizzano questo CMS, e tutti sono di fatto attaccabili se non viene effettuato l'aggiornamento alla nuova versione: "Considerato che la vulnerabilità è stata trovata in un modulo essenziale che non richiede alcuna estensione, tutti i siti che usano Joomla 3.2 o versioni precedenti sono vulnerabili", ha scritto Asaf Orpani, ricercatore di sicurezza.

Le vulnerabilità "SQL-injection" consentono l'esecuzione da remoto di comandi potenzialmente fatali su un database di un sito web, immettendo testo specifico all'interno dei campi di input o di ricerca integrati nelle pagine web. Falle di questo tipo sono fra le più popolari e diffuse per compromettere le pagine internet, e sono solitamente possibili per via dell'infrastruttura che gestisce il testo in input stesso che, come in questo caso, non viene trattato come testo semplice e pertanto può eseguire comandi da remoto, anche pericolosi.

In questo modo, eventuali aggressori possono venire in possesso di file confidenziali fra quelli immagazzinati nei server, o altre informazioni sensibili racchiuse nel database. Nel caso specifico scoperto da Orpani, il bug può esporre i dati dell'ID amministratore di una sessione. Una volta in possesso delle informazioni, l'aggressore deve semplicemente inserire nel browser un cookie creato appositamente con gli stessi dati in modo da ottenere l'accesso anche a parti estremamente sensibili del server.

"Incollando l'ID della sessione che abbiamo estratto alla sezione cookie abbiamo ottenuto i privilegi da amministratore e l'accesso al Pannello di controllo", ha scritto Orpani nel blog. Vista l'entità dei danni potenziali eseguibili con l'exploit del bug, tutti gli amministratori di siti web basati su Joomla dovrebbero installare al più presto la patch rilasciata giovedì.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
MaxP426 Ottobre 2015, 18:26 #1
...tutti aggiornati!
radu8126 Ottobre 2015, 22:30 #2
tutti i siti che usano Joomla 3.2 o versioni precedenti sono vulnerabili"

le versioni vulnerabili sono quelle da 3.2 a 3.4.4.

C'è da aggiungere che la notizia dell'aggiornamento alla versione 3.4.5 è uscita qualche giorno prima dell'aggiornamento stesso, avvisando di una falla di sicurezza invitando tutti ad aggiornare:

The Joomla security team (JSST) has been informed of a critical security issue in the Joomla core.

A Joomla 3.4.5 release containing only security fixes will be published Thursday 22nd October at approximately 14:00 UTC.

Since this is a very important security fix, please be prepared to update your Joomla installation's next Thursday.

Until the release is out, please understand that we cannot provide any further information.
misterfrederx27 Ottobre 2015, 12:58 #3

' or 1=1 or '

ammettiamolo: ci abbiamo provato tutti dopo aver letto l'articolo

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^