Sicherheitslücke in Joomla!-Erweiterung

Geschrieben in Google hacking, Sidetopics am July 13th, 2013
Tags: , , , , ,

Heute mal ein kleiner Artikel über eine Sicherheitslücke in einer Erweiterung von Joomla!. Ich schreibe darüber, weil man die Opfer sehr leicht auch über Google finden kann. Es geht um die Sicherheitslücke, die in der Packetstormsecurity Datenbank zu finden ist: Joomla Attachments Shell Upload

Um was geht es?

Die Erweiterung ermöglicht es Dateien auf Eure Webseite zu laden. Dabei wird allerdings kein Typ ausgeschlossen. Es ist also möglich jede Art von Datei über die Erweiterung auf den Webspace eurer Webseite zu laden.

Ganz schlimm wird es dann, wenn ein Internet-Krimineller eine php-Shell auf euren Webspace lädt. Das ist ein Dateiexplorer der dem Angreifer euren kompletten Webspace “öffnet”. Er kann sich darüber Dateien anschauen aber auch verändern oder gar auf eure Datenbank zugreifen und zwar selbst dann, wenn der Zugriff auf den Webspace selbst beschränkt ist. Denn die Shell liegt ja auf genau diesem.

Hier einmal ein Video in dem man sieht, wie leicht man mit so einer Shell Schabernack treiben kann: Using C99 shell hacking.

Du glaubst das sei nicht wichtig, weil deine Seite eh keiner kennt?

Hier kann ich nur sagen: Bitte täusch dich da mal nicht. Man kann über Google über einen sehr einfachen Suchstring potentielle Opfer finden. Dazu sucht man einfach nach.

inurl:”index.php?option=com_attachments”

Direkt zu Google

Schnell kann in dieser Suche auch Eure Webseite drin sein.

Was ich ganz gut finde: Joomla! reagiert auf solche Sicherheitslücken in Erweiterungen sehr charmant. Auf der Seite der Erweiterungen in der Joomla!-Datenbank wird für dieses Plugin eine Warnung ausgegeben.

Auch der Hersteller des Plugins hat wohl bereits reagiert und einige Sicherheitsabfragen für den Upload von Dateien hinzugefügt. Joomla! selbst hat dazu einen Blogartikel geschrieben.

Aktuell würde ich aber jedem empfehlen die Erweiterung erst einmal zu deaktivieren, bis auch Joomla! Entwarnung gibt und das Plugin auf deren Seite wieder offiziell angeboten wird.

Das hab ich jetzt deinstalliert, was sollte ich außerdem tun?

Du solltest unbedingt nachschauen ob sich auf deinem Webspace vielleicht bereits eine Shell befindet. Eine einfache Möglichkeit dazu wäre zum Beispiel die suche nach “<?php” in dem Verzeichnis der Attachements. Wenn Du dabei fündig wirst, ist eine komplette Forensik von dem Webspace vorzunehmen. Dazu nimmst du die Webseite besser erst einmal offline, denn: Sollte die Webseite von Dritten infiziert worden sein, dann besteht eine akute Gefahr für deine Besucher.

Auch dein Computer könnte dann bei einem Besuch auf deiner eigenen Webseite mit einem Virus infiziert worden sein. Solltest du dir hier unsicher sein empfehle ich einen Besuch auf check-and-secure.com.


One Response to “Sicherheitslücke in Joomla!-Erweiterung”

  1. AKAOMA Consulting Says:

    Thanks foг ѕharing yоur thoughts on tеѕt intrusion.

    Regaгds

Leave a Reply

Blogverzeichnis - Blog Verzeichnis bloggerei.de Blogverzeichnis