Discussion :

[Olivier Famien]

Des pirates exploitent des failles récemment corrigées pour attaquer des milliers de sites web Joomla,
des correctifs sont encore attendus

Depuis plusieurs jours, les sites basés sur le système de gestion de contenu (CMS) Joomla connaîssent des attaques de part de pirates sur la toile. L’histoire a commencé lorsque les développeurs du CMS ont découvert trois failles sur cette plateforme de développement de sites web un peu lus tôt dans ce mois.

La première permet à des personnes mal intentionnées de créer des comptes sur un site web basé sur Joomla même si l’inscription sur le site a été désactivée. La seconde faille permet à un tiers malveillant de s’inscrire sur ces sites web avec des privilèges élevés. La troisième faille quant à elle permet à un tiers d’effectuer des modifications des données des comptes utilisateurs comme les noms d’utilisateurs, leurs mots de passe, les identifiants de groupe d’utilisateurs, etc. À côté de ces trois failles, l’équipe de Joomla a également détecté un bogue sur le système de sécurité utilisant le chiffrement pour l’authentification à deux facteurs.

En urgence, l’équipe a sorti un correctif le mardi 25 octobre afin de colmater toutes les brèches découvertes. Toutefois, en dépit des différents correctifs mis en ligne par l’équipe de Joomla, les pirates n’ont pas pour autant baissé les bras.

En effet, quelques heures après la sortie de ces correctifs, un expert en sécurité de l’entreprise Sucuri a commencé à analyser le code de ces correctifs afin de s’assurer qu’il était sûr. Ce dernier a donc effectué de l’ingénierie inversée, ce qui lui a permis de créer un outil qui lui permettait d’exploiter une vulnérabilité pour télécharger une porte dérobée. Dans ses recherches, il lui a été donné de découvrir comment des pirates pourraient exploiter cette faille et ce qui pourrait être fait pour protéger les clients Joomla.

Malheureusement, Daniel CID, l’expert en sécurité de Sucuri rapporte que son équipe ne fut pas la seule à investiguer sur les derniers correctifs mis en ligne pour corriger les différentes failles recensées. Les pirates ont également détecté des failles dans les correctifs mis en ligne pour protéger les sites Joomla contre l’inscription sur ces sites avec des privilèges élevés et la création de comptes sur ces sites bien que l’enregistrement soit désactivé.

« En moins de 36 heures après la divulgation initiale, nous avons commencé à voir des tentatives d’exploitation de masse à travers le web », a noté CID. Il ajouta qu’en fait, « en raison de la forte augmentation, il est de notre conviction que tout site Joomla ! qui n’a pas été mis à jour est très probablement déjà compromis ». CID base ces convictions sur le fait que depuis le 26 octobre dernier à 13 heures, plusieurs requêtes ont été dirigées vers les sites Joomla afin de tenter de créer des utilisateurs.

Quelques heures plus tard, une campagne d’attaques lancée à partir de quelques adresses IP (82.76.195.141 / 82.77.15.204 / 81.196.107.174) en Roumanie a fusé en direction des sites Joomla avec pour intention de créer le nom d’utilisateur db_cfg avec le mot de passe fsugmze3.

Par ailleurs, peu de temps après, une campagne d’exploits en masse a été à nouveau lancée à partir d’une autre adresse IP en Lettonie avec pour objectif d’inscrire des noms d’utilisateurs et des mots de passe aléatoires sur des sites Joomla. L’adresse IP répertoriée est la suivante : 185.129.148.216. CID précise que tout site Joomla sur le réseau de Sucuri a été frappé par ces attaques, mais elles n’ont pas atteint leur cible à cause du pare-feu de l’entreprise. Sur son réseau uniquement, l’entreprise a enregistré 27 751 sites qui ont été attaqués.

Sucuri souligne que si vous n’avez pas mis à jour votre site avec les règles de correctif virtuel éditées par la firme et installé dans le par-feu de son cloud, il est très probable que vous soyez déjà infecté. Et pour savoir si vous êtes infecté, CID demande de vérifier les nouveaux utilisateurs dans votre tableau de bord. Par ailleurs, il est recommandé de vérifier les adresses IP fournies et si vous apercevez ces adresses avec le modèle task=user.register, cela signifie que vous êtes déjà infecté.

Source : Blog Sucuri

Et vous ?

Que pensez-vous de ces nouvelles campagnes d’attaques contre les sites Joomla ?

De quoi remettre en cause la sécurité du CMS ?

Voir aussi

4,5 millions d'utilsateurs de sites web WordPress et Joomla victimes d'attaques par injection de code, d'après des chercheurs en sécurité d'Avast

La Rubrique Développement web, Forum Sécurité, Cours et tutoriels web, FAQ web

[Wyl_Coding]

D'où l'intérêt d'installer des mesures de sécurité complémentaires comme la solution aescure qui permet de renforcer la sécurité des sites Joomla! et autres en installant un pare feu.
https://www.aesecure.com/fr/

[NSKis]

A part ça... Certains ne se gènent pas pour jouer aux marchands de tapis!!!

Sans connaître dans le détail ce "génial produit", je peux vous assurer que les "produits miracles vous promettant la sécurité" sont autant sujet aux failles de sécurité que n'importe quel système

[Malick]

Joomla : des sites web attaqués par des pirates,
suite à la publication d'un correctif pour deux grandes failles

Rate of Joomla infections since vulnerability disclosure

Sucuri, spécialisé dans la sécurité des sites web, vient d'annoncer que certains sites basés sur la plateforme Joomla ont fait l'objet de nombreuses attaques lancées par des pirates.

Selon Sucuri, ces attaques résultent de la publication à la date du 25/10/2016, par Joomla, d'un correctif dont le principal objectif était de résoudre deux grosses failles très critiques (notamment CVE-2016-8870 et CVE-2016-8869) qui avaient été identifiées sur sa plateforme. Sucuri rappelle que ces failles permettaient la création de comptes disposant de privilèges sur un site distant basé sur Joomla, cela malgré que l'administrateur ait procédé à la désactivation du processus.

Sucuri soutient que le mode opératoire des pirates consistait à faire une analyse approfondie du correctif publié par Joomla afin de pouvoir par la suite lancer des attaques entre l'application du patch et sa prise d'effet définitive. Il affirme également qu'en moins de 36 heures après la mise à disposition du patch, plusieurs tentatives d'exploitation ont été repérées.

Ces tentatives d'exploitation concerneraient principalement les sites non encore mis à jour. Par ailleurs, il a été relevé que trois adresses IP en charge de procéder à la détection des sites non mis à jour ont été identifiées :

Il est fortement recommandé aux utilisateurs de procéder à une rapide mise à jour de leur site web en téléchargeant Joomla 3.6.4.

Source : blog Sucuri

Et vous ?
Qu'en pensez-vous ?
Avez-vous mis à jour votre site web ?

[tataye54]

bonjour,

je poste peu, voire pas du tout, mais je ne peux pas laisser écrire que ceux qui privilégient aesecure et le recommandent sont des marchands de tapis.
cette extension, qui sécurise tous les sites, pas seulement des sites joomla est très efficace.
à tester ( il y a une version gratuite) avant de critiquer.

[cavo789]

Bonsoir NSKis

Sans connaître dans le détail ce "génial produit", je peux vous assurer que les "produits miracles vous promettant la sécurité" sont autant sujet aux failles de sécurité que n'importe quel système

Note que personne n'a utilisé un tel qualificatif (génial) ni vanté autre chose.

Une solution de sécurité n'est pas une garantie formelle et définitive. Je suis d'accord avec toi sur "celui qui promet cela est un malhonnête".

Un logiciel de sécurisation est une des mesures de protection à adopter et elle n'est efficace (disons à 90%) qu'avec d'autres mesures comme une sensibilisation forte de l'utilisateur (qui doit avoir un comportement sécuritaire (mot de passe fort), mise à jour continue des logiciels, CMS, version PHP, ...)).

Un logiciel de sécurité, c'est une porte blindée : elle ne permet pas à celui qui veut s'introduire de le faire (d'autant plus si c'est par l'exploitation d'une faille existante) mais va rendre le cambriolage plus difficile à réaliser et bien plus difficile à masquer (existence de logs, mails d'alerte, etc.).

Le produit miracle n'existe pas; c'est une évidence et tu as raison de le souligner mais ne présume pas non plus que les développeurs de ces logiciels font justement un tel amalgame. C'est très réducteur La plupart des dévs sont d'honnêtes personnes

Bonne soirée.