martedì 19 marzo 2019

Check Point, JMail al centro di una campagna spam: Joomla precisa


Joomla! è uno dei Content Management System (CMS) più famosi ed è utilizzato da centinaia di migliaia di organizzazioni in tutto il mondo. Consente agli utenti di creare siti Web personalizzati e potenti applicazioni online. Più del 3% dei siti Web utilizza Joomla! e rappresenta oltre il 6% della quota di mercato CMS. Check Point Research, team di ricerca di Check Point Software Technologies, ha scoperto una nuova campagna di attacchi verso JMail, il servizio e-mail di Joomla! Il progetto Joomla ha tenuto a rassicurare la propria base di utenti che non ci sono vulnerabilità nella classe JMail.

Nel corso degli anni, il CMS è stato al centro di molte vulnerabilità, come l’escalation dei privilegi del filtro per il cross-site scripting Joomla Core Sterilizer (CVE-2017-7985) e l’esecuzione di comandi remoti di Joomla Object Injection (CVE-2015-8562). Recentemente Check Point Research, il team di ricerca di Check Point Software Technologies, ha scoperto una nuova campagna di attacchi a opera di un noto attore di minacce informatiche che sta sfruttando ovviamente a scopo di lucro una vulnerabilità presente in JMail, il servizio email di Joomla! JMail è il servizio di posta di Joomla, che consente all’utente di inviare posta attraverso la piattaforma.

In mancanza di sistemi di sicurezza appropriati, il servizio può essere manipolato facilmente per essere utilizzato per il phishing, lo spam o addirittura per implementare un’infrastruttura backdoor all’interno della piattaforma. Infatti, alterando l’intestazione User-Agent nelle richieste HTTP, un criminale può manipolare la piattaforma e sovrascrivere il servizio JMail esistente. Essenzialmente, si tratta di un problema di convalida dell'input. Check Point Software Technologies segnala come l’attore della minaccia, Alarg53, è consapevole di questo e lo sta attualmente sfruttando per realizzare una campagna di spam davvero proficua.


Secondo i ricercatori, Alarg53 non è nuovo in queste avventure. I dati dimostrano che Alarg53 è colpevole di ben 15.000 attacchi hacker, incluso quello che aveva coinvolto i server della Stanford University sfruttando una vulnerabilità di WordPress. In questa campagna, però, Alarg53 si è superato, includendo addirittura un’infrastruttura di backdoor e phishing significativa e su vasta scala. Per ulteriori informazioni sull’attacco JMail Breaker, consultare il blogpost. L’annuncio della campagna di phishing che sta interessando Joomla! è stato comunicato dall’azienda durante il RSA Trade Show di San Francisco che si è svolto alla fine di febbraio.

Il progetto Joomla! ha pubblicato una dichiarazione sul proprio blog in cui contesta la recente analisi di Check Point, affermando che la vulnerabilità sarebbe di PHP e non di Joomla! stesso e, inoltre, sarebbe vecchia di più di tre anni. È stata comunque rilasciata una patch per mitigare il problema, dunque solo utilizzando versioni di Joomla! e di PHP più vecchie di tre anni si riuscirebbe a portare a termine l’attacco illustrato da Check Point Software Technologies. Il progetto afferma poi che il file menzionato nel report di Check Point non fa parte del core di Joomla, si tratta di una copia della classe originale utilizzata dall'attaccante per offuscare una backdoor.

Usando file con lo stesso nome e con contenuti simili si nasconde più facilmente la backdoor. Lo sfruttamento è possibile con le versioni di PHP 5.29, 5.6.13, 5.5 o inferiori. Le successive hanno implementato le correzioni per questa vulnerabilità. Il progetto Joomla ha anche distribuito regole WAF a molti fornitori di hosting al tempo della scoperta del problema, per proteggere i siti da exploit ed attacchi comuni relativi a questa vulnerabilità. La conclusione del Progetto Joomla! è che il pattern descritto da Check Point è uno classico. Questa debolezza è più vecchia di 3 anni e deriva da una vulnerabilità di sicurezza riscontrata in PHP, più che nel core di Joomla.



Nessun commento:

Posta un commento