Un informe de Check Point Research nos ha llamado la atención sobre una vulnerabilidad de seguridad que fue corregida en diciembre de 2015. Este informe también ha sido recogido por Threat Post.
Ambos informes contienen una gran cantidad de inexactitudes e insinúan que la vulnerabilidad detallada es actual. Esta declaración sirve para aclarar los hechos que rodean este asunto. Además, nos gustaría asegurar a nuestra base de usuarios que, por mucho que estos artículos intenten afirmar que se trata de un tema de actualidad, en realidad está lejos de serlo.
- No hay ningún problema de seguridad actual con la clase JMail.
- El problema subyacente, utilizado para crear y almacenar una puerta trasera, es un problema de PHP y no problema de Joomla.
- Un ataque exitoso sólo es posible con versiones de PHP y Joomla muy antiguas, que estén más de 3 años desactualizadas(las versiones de PHP 5.4.45, 5.5.29, 5.6.13 y todas las versiones superiores están parcheadas para esta vulnerabilidad). Por favor, mira nuestro reciente artículo sobre la importancia de mantener tu sitio actualizado aquí.
- Una mitigación para Joomla 1.5, 2.5 y 3 fue lanzada hace más de 3 años, en diciembre de 2015. Los parches para las versiones EOL fueron lanzados junto con la versión 3.4.7 de Joomla. Los parches para las otras versiones de Joomla todavía están disponibles aquí. El proyecto Joomla también distribuyó las reglas WAF a muchos proveedores de alojamiento compartido en el momento de la detección para protegerse contra los ataques comunes de esta vulnerabilidad.
- El archivo mencionado en el informe de Check Point no es un archivo del núcleo de Joomla, es una copia de la clase original utilizada por el atacante para ofuscar una puerta trasera.
- El archivo no "reemplaza" el núcleo de la clase JMail
Más información sobre la vulnerabilidad:
El patrón descripto por Check Point es un patrón clásico - donde un atacante explota un problema de seguridad conocido. El problema tiene más de 3 años y proviene de un problema de seguridad que se encuentra en PHP, en lugar del núcleo de Joomla. Más información sobre este tema se puede encontrar aquí:
https://developer.joomla.org/security-centre/639-20151206-core-session-hardening.html
https://bugs.php.net/bug.php?id=70219
Al explotar este problema, un atacante puede instalar una puerta trasera en el sitio, que puede ser utilizada para actividades maliciosas. Para que la detección sea lo más difícil posible, los atacantes suelen utilizar copias de archivos de aplicaciones reales (en este caso una copia de la clase de correo de Joomla) para incrustar su código de explotación. Esas copias nunca se utilizarán en la ejecución normal de la aplicación, por lo que no hay ningún "reemplazo" como se afirma en el informe, simplemente utilizaron el archivo para ofuscar la puerta trasera real.
Este artículo es una traducción de A Statement on the Recent Report by Check Point publicado en joomla.org