Una dichiarazione sul recente Report di Check Point

Il report relativo ad una ricerca di Check Point è stato portato all'attenzione del team di Joomla relativamente ad una vulnerabilità di sicurezza che è stata corretta nel lontano Dicembre 2015. Questo report è stato anche ripreso da Threat Post.

Entrambi i report contengono un grande quantitativo di inaccuretezze ed insinuano che la vulnerabilità riportata sia ancora attuale.

Questa dichiarazione si è resa necessaria per chiarire le circostanze su questa problematica. Inoltre il progetto Joomla ci tiene a rassicurare la propria base utenti che, nonostante questi post insinuino che il problema sia ancora attuale, la realtà è ben lontana da tutto ciò.

Tenendo a mente queste premesse, Joomla chiarisce una serie di punti:

  • Non ci sono vulnerabilità di sicurezza nella classe JMail.
  • La vulnerabilità sottostante, utilizzata per creare e salvare una backdoor, è relativa a PHP più che a Joomla.
  • Un attacco riuscirebbe esclusivamente in caso di utilizzo di versioni PHP e Joomla che siano più vecchie di 3 anni (le versioni PHP 5.4.45, 5.5.29, 5.6.13 e le successive hanno implementato le correzioni per questa vulnerabilità).
  • Una mitigazione per Joomla 1.5, 2.5 e 3 è stata rilasciata più di 3 anni fa, a Dicembre 2015. Le patch per le versioni EOL (End of Life - non più supportate) furono rilasciate insieme a Joomla 3.4.7. Le patch sono ancora disponibili per il download qui. Il Progetto Joomla ha anche distribuito regole WAF a molti fornitori di hosting al tempo della scoperta del problema, per proteggere i siti da exploit ed attacchi comuni relativi a questa vulnerabilità.
  • Il file menzionato nel report di Check Point non fa parte del core di Joomla, si tratta di una copia della classe originale utilizzata dall'attaccante per offuscare una backdoor.
  • Il file non sovrascrive la classe JMail del core.

Ulteriori informazioni sull'exploit

Il pattern descritto da Check Point è uno classico - dove un attaccante sfrutta una ben nota vulnerabilità di sicurezza. Questa vulnerabilità è più vecchia di 3 anni e deriva da una vulnerabilità di sicurezza riscontrata in PHP, più che nel core di Joomla. Ulteriori informazioni a riguardo sono disponibili:

Sfruttando questa vulnerabilità, un attaccante può caricare nel sito una backdoor che può essere utilizzata per attività malevole. Per nascondere meglio la backdoor, gli attaccanti spesso utilizzano copie di file dell'applicazione reale (in questo caso una copia della classe di invio mail di Joomla) per integrare il loro codice malevolo. Queste copie non saranno mai utilizzate dall'esecuzione normale dell'applicazione, quindi non c'è un override (una sovrascrittura) come invece indicato nel report, è invece semplicemente utilizzato il file per nascondere la backdoor.

Articolo tradotto da "A Statement on the Recent Report by Check Point".