Vandaag zijn er weer twee zero-day-lekken in Joomla ontdekt
Het is een hectische week geweest voor de beveiliging van Joomla. Drie afzonderlijke zero-day-lekken in veelgebruikte extensies, waarvan er twee vandaag bevestigd zijn, komen allemaal neer op hetzelfde: een upload-endpoint dat bestanden accepteert van iedereen, zonder inloggegevens en zonder controle op de inhoud van het bestand. Een PHP-shell installeren, uitvoeren en de site overnemen.
Dit is niet nieuw. Deze kwetsbaarheden zitten al jaren in de code van extensies. Wat wel veranderd is, is hoe snel ze worden gevonden. Laat AI de broncode van een extensie analyseren en alle uploadpaden markeren die de inlogcontrole overslaan en een klus die vroeger een zorgvuldige middag in beslag nam, is nu in een paar minuten geklaard. Dat werkt twee kanten op: aanvallers gebruiken dezelfde truc. Er duiken dus steeds meer van deze lekken op, ze volgen elkaar snel op en worden vrijwel direct misbruikt.
Dit is wat er deze week is uitgekomen, van ergst naar minst erg: de zero-day-kwetsbaarheid van SP Page Builder die actief nep-Super Admins aanmaakt, de zero-day-kwetsbaarheid van iCagenda en de aanhoudende golf van kwetsbaarheden in de JCE-editor.
Deze informatie hebben wij voor een groot deel overgenomen uit de nieuwsbrief van mysites.guru.
Dit is niet nieuw. Deze kwetsbaarheden zitten al jaren in de code van extensies. Wat wel veranderd is, is hoe snel ze worden gevonden. Laat AI de broncode van een extensie analyseren en alle uploadpaden markeren die de inlogcontrole overslaan en een klus die vroeger een zorgvuldige middag in beslag nam, is nu in een paar minuten geklaard. Dat werkt twee kanten op: aanvallers gebruiken dezelfde truc. Er duiken dus steeds meer van deze lekken op, ze volgen elkaar snel op en worden vrijwel direct misbruikt.
Dit is wat er deze week is uitgekomen, van ergst naar minst erg: de zero-day-kwetsbaarheid van SP Page Builder die actief nep-Super Admins aanmaakt, de zero-day-kwetsbaarheid van iCagenda en de aanhoudende golf van kwetsbaarheden in de JCE-editor.
SP Page Builder wordt gebruikt om nep-Joomla-beheerders te plaatsen
SP Page Builder is een van de meest geïnstalleerde page builders voor Joomla, en de taak `asset.uploadCustomIcon` accepteert een bestandsupload zonder inloggen en zonder typecontrole. Aanvallers gebruiken dit momenteel om een PHP-shell te uploaden, vervolgens verborgen Super Administrator-accounts aan te maken (het e-mailadres eindigt op @secure.local) en op verschillende plekken een backdoor in de bestandsbeheerder te plaatsen voor persistentie. Een WAF die JCE-aanvallen blokkeert, blokkeert deze niet per se. De oplossing is versie 6.6.2. Update alle sites, controleer vervolgens uw beheerderslijst en verwijder alles wat is getroffen.Een zero-day kwetsbaarheid in iCagenda gevonden, gemeld en snel gedicht
iCagenda is een populaire Joomla-component voor evenementen, en deze bevatte dezelfde kwetsbaarheid: een niet-geauthenticeerde bestandsupload die een aanvaller volledige controle over het uitvoeren van code op afstand geeft. De kwetsbaarheid is deze week ontdekt, bevestigd dat deze werd misbruikt en de ontwikkelaar heeft snel gereageerd. Gelukkig brachten ze dezelfde dag nog versie 4.0.8 uit. Als je iCagenda gebruikt, update dan nu naar versie 4.0.8. Oudere versies moeten als kwetsbaar worden beschouwd en websites die op een oudere versie draaien, moeten worden gecontroleerd op inbreuken.En de JCE-editorgolf is nog steeds gaande
De JCE-profielhack is dezelfde truc, maar dan op veel grotere schaal: een niet-geauthenticeerde profielimport (gepatcht in JCE 2.9.99.5) werd gebruikt om PHP-uploads opnieuw in te schakelen en een webshell te installeren. Deze hack legde drie van de belangrijkste websites van het Joomla-project plat.Eerder deze week hebben wij een uitgebreid artikel over de hack van JCE hier geplaatst.Deze informatie hebben wij voor een groot deel overgenomen uit de nieuwsbrief van mysites.guru.