La nouvelle kryptonite de Joomla!

//La nouvelle kryptonite de Joomla!

La nouvelle kryptonite de Joomla!

Par | 2016-11-08T15:16:46+02:00 novembre 8th, 2016|Blog|

Joomla!, la deuxième plus importante plateforme de gestion de contenu au monde, nous a averti mardi 25 octobre être touchée par deux failles jugées critiques. Exploitées, elles peuvent permettre la création de comptes sur n’importe quel site ou autoriser des actions normalement interdites. Une mise à jour de votre version de Joomla! est donc vivement recommandée.

La première faille, estampillée CVE-2016-8870, est due un défaut de vérification, pouvant aboutir à la création d’un ou plusieurs utilisateurs, même si l’administrateur a désactivé cette opération. Quelques jours plus tard, la deuxième faille fut découverte. Nommée CVE-2016_8869, celle-ci ne peut être exploitée que si la première est en action. Utilisée en complément, elle permet en effet d’élever les privilèges du compte utilisateur pour réaliser des actions qui ne sont pas permises.

Les deux failles sont critiques, lorsqu’elles sont utilisées individuellement, et leur combinaison s’en montre d’autant plus redoutable. Elles sont exploitables à distance et concernent des millions de sites. Téléchargé plus de 75 millions de fois, Joomla! est aujourd’hui utilisé par de grands groupes tels que McDonalds, Ikea et General Electrics.

En urgence, l’équipe a sorti un correctif le jour même de la découverte afin de colmater toutes les brèches. Toutefois, en dépit des différents correctifs mis en ligne par l’équipe de Joomla!, les pirates n’ont pas pour autant baissé les bras.

En effet, quelques heures après la sortie de ces correctifs, un expert en sécurité de l’entreprise Sucuri, CID, a commencé à analyser le code de ces correctifs pour tester leur fiabilité. Ce dernier s’est appuyé sur des techniques de reverse engineering, afin de créer un outil qui lui permettait d’exploiter la première vulnérabilité et de télécharger une porte dérobée. Dans ses recherches, il lui a été donné de découvrir comment des cybercriminels pourraient exploiter cette faille et comment ils pourraient contourner les correctifs disponibles.

« En moins de 36 heures après la divulgation initiale, nous avons commencé à voir des tentatives d’exploitation en masse à travers le web », annonce CID.  Il ajoute, « en raison de la forte augmentation, il est de notre conviction que tout site Joomla! qui n’a pas été mis à jour est très probablement déjà compromis ». CID base ces convictions sur le fait que depuis le 26 octobre dernier à 13 heures, plusieurs requêtes ont été dirigées vers les sites Joomla! afin de tenter de créer des utilisateurs.

Quelques heures plus tard, une campagne d’attaques lancée à partir de quelques adresses IP (82.76.195.141 / 82.77.15.204 / 81.196.107.174) en Roumanie a fusé en direction des sites Joomla! avec l’intention de créer le nom d’utilisateur db_cfg avec le mot de passe fsugmze3. Un utilisateur nommé db_cfg n’alertera pas de manière évidente les administrateurs, faisant fortement penser à un compte associé à la configuration de la base de données du site.

Par ailleurs, peu de temps après le 26 octobre, une campagne d’exploits en masse a été à nouveau lancée à partir d’une autre adresse IP en Lettonie avec pour objectif d’inscrire des noms d’utilisateurs et des mots de passe aléatoires sur des sites Joomla!. L’adresse IP répertoriée est la suivante : 185.129.148.216. CID précise que tout site Joomla! sur le réseau de Sucuri a été frappé par ces attaques, mais elles n’ont pas atteint leur cible grâce au pare-feu de l’entreprise. Sur son réseau uniquement, l’entreprise a enregistré 27 751 sites qui ont été attaqués.

Avoir les outils pour détecter une violation est important, cependant, si vous n’avez pas mis à jour votre site avec les règles de correctif éditées par Joomla!, il est très probable que les pirates ont trouvé et exploité la kryptonite de Joomla!. Pour savoir si vous êtes infecté, vérifiez les nouveaux utilisateurs dans votre tableau de bord et les adresses IP fournies. Si vous vous apercevez que ces adresses respectent le modèle task=user.register, cela signifie que vous êtes déjà infecté.

Dans l’intérêt d’éviter toute tentative d’intrusion veillez à maintenir vos systèmes à jour.  

[button link= »https://www.itrust.fr/contact/ » color= »blue » target= »_self » size= »large » title= »Contactez-nous « ]Contactez-nous[/button]