>> Achtung - Joomla Visites 1.1 RC2 Sicherheitslücke

S	M	D	M	D	F	S
	1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30

Sicherheitslücke in Joomla Visites 1.1 RC2

Samstag, 3. Mai 2008

Leider hat die sehr gute Joomla Statistik Extension Joomla Visites eine ernste Sicherheitslücke. Dies betrifft die aktuelle Version 1.1 RC2. Wie so oft, ist auch hier wieder eine Remote File Inclusion möglich. Also das einschleusen von externem Schadcode. Details und generelle Handlungsempfehlung in Sachen RFI Sicherheit und Joomla Visites.

SPAM Attacke mit Joomla Visites

Unverhofft kommt oft. Die Joomla Visites Lücke ist schon seit dem 25.04. in "Hacker"-Kreisen bekannt. Die problematische und unsichere Datei ist myMailer.class.php. Wie der Name schon vermuten lässt, können hiermit wunderbare Massen an Spam verschickt werden. So geschehen bei einem Joomla Webmaster, der sich im Joomla Forum Joomlaportal.de meldete. Er setzte auf mehreren Seiten Joomla Visites ein. Diese wurden unbemerkt gehackt und zu Spam Maschinen zweckentfremdet. Also nicht die typische Hobby 'you're hacked' Meldung, sondern konkreter Missbrauch der Webseiten für SPAM.

RFI Attacken im Trend

Wieder einmal Remote File Inclusion. Dieser Begriff ist spätestens seit den Joomla Core Updates ab 1.0.13 fast jedem Joomla Webmaster ein Begriff. Hier wird auf einfache Weise Schadcode direkt über den URL Aufruf eingeschleust. Joomla 1.0.15 und Joomla 1.5.0 wurden dagegen abgehärtet. Extensions dagegen nicht unbedingt, denn dessen Pflege ist Sache der jeweiligen Entwickler.

Angriff auf Joomla Visites im Detail

Die aktuelle Sicherheitslücke von Joomla Visites wird nicht jeden Joomla Webmaster direkt in arge Probleme treiben. Wer die grundlegendsten Joomla Sicherheitsmaßnahmen beachtet, hat auch dieses Mal so gut wie nichts zu befürchten. Die Remote File Inclusion wird mit folgenden Aufruf gestartet:

.../administrator/components/com_joomla-visites/core/include/
myMailer.class.php?mosConfig_absolute_path=[evilcode]

Schnell sieht man, dass hier ein htaccess Schutz des /administrator Verzeichnisses den Zugriff für Unbefugte sperren kann. Erfolgreiche Angriffe sollten damit nur auf Seiten gelingen, die diese grundlegendste Sicherheitsmaßnahme gekonnt ignorieren.

Zwei weitere PHP Funktionen begünstigen den möglichen Erfolg einer RFI Attacke. Zum einen sollte die PHP Funktion allow_url_fopen abgeschaltet werden. Zum anderen die PHP Funktion register_globals. All diese Maßnahmen sollten zur Grundausstattung einer Joomla Installation gehören. Und zwar schon direkt nach der Installation vom Joomla Core.

Joomla Visites auf Angriffe abklopfen

Wer keinen htaccess Verzeichnisschutz installiert und / oder die beiden PHP Funktionen eingeschaltet hat, sollte vor der Deinstallation von Joomla Visites den folgenden Ordner einmal genauer unter die Lupe nehmen:

/administrator/components/com_joomlavisites/core/includes

Falls hier verdächtige, neue Dateien abgelegt wurden, hat man ein Problem. Am einfachsten vergleicht man den Verzeichnisinhalt mit dem einer frischen Joomla Visites ZIP Datei. Grundsätzlich lohnt es sich zudem die geloggten 404 Seitenaufrufe der letzten Tage zu überpüfen. Nutzt man eine SEF Komponente, reicht die Suche nach 404 URLs die den String com_joomla-visites enthalten. Findet man solche Aufrufe, sollte man diese auf obiges Angriffsmuster prüfen. Nutzt man keine SEF Komponente ist eine kurze Log File Analyse sehr zu empfehlen.

Joomla Visites gekapert - Notfallplan

Ist im Verzeichnis einiges "fremdes" abgelegt worden, hilft nur noch der Notfallplan:

1) Gesamtes Webprojekt löschen und sauberes Backup aufspielen
2) Problematische Extension direkt deinstallieren
3) Alle Passwörter der Joomla Installation ändern

Erhöhte Aufmerksamkeit in Sachen Angriffsversuche in den Wochen nach dem Angriff mittels Log File Analyse.

Deinstallieren - neue Visites Version kommt

Joomla Visites liegt aktuell in der Version 1.1 RC2 vor. Es ist bekannt, dass schon bald eine komplett neue Visites Version erscheinen soll. Somit gehe ich davon aus, dass diese neue Version schon sehr bald veröffentlich wird - angesichts der RFI Sicherheitslücke. Auch wenn man sich gegen die Joomla Visites Lücke leicht absichern kann, ist eine Deinstallation grundsätzlich empfohlen. Auch potentiell unsichere Extensions gehören auf keine Joomla Installation. Zudem pikant: Das Joomla Visites Modul verrät natürlich die Nutzung von Visites - so ist durch eine simple Google Suche schnell herauszufinden, wer die aktuell unsichere Visites Extension nutzt.

Im Endeffekt keine Katastrophe, sondern Tagesgeschäft. "Angegriffen" wird täglich und fast jede Joomla Installation. Erfolgreiche Angriffsversuche sind durch grundlegendste Sicherheitsmaßnamen meist zu verhindern.

>> Joomla Visites Entwickler Forum
>> Was ist Remote File Inclusion
>> "Lebensversicherung" Joomla Backups

Dank für den Hinweis an trollyUN

Kommentare

Neuer Kommentar

Suche

RSS