Veiligheidslek in Joomla

Het gekende open source CMS Joomla wordt nog steeds door heel wat mensen gebruikt. Hoewel Joomla wat onder de voet gelopen wordt door concurrenten zoals Drupal en WordPress, houden ze nog steeds stand.

Helaas stellen we vast dat er in oudere versies van Joomla een veiligheidslek zit. Dit lek brengt grote risico’s met zich mee en zorgt ervoor dat hackers zonder al te veel moeite Joomla sites kunnen hacken.

Wat houdt het veiligheidslek in?

Het lek werd erkend door het security team van Joomla en wordt  aanzien als een “privilege escalation vulnerability”. Kortom: een gebruiker kan zijn privileges verhogen en administrator worden zonder de toestemming van de klant.

Door index.php?option=com_users&view=registration aan te roepen, kan een hacker een nieuwe gebruiker aanmaken. Maar door in het registratieformulier wat extra velden toe te voegen met een specifieke waarde, krijgt die gebruiker meteen alle rechten en kan er ingelogd worden.

Eenmaal de hacker de nodige rechten bekomt, heeft hij vrij spel op de backend van de Joomla. Hackers willen meestal toegang tot het bestandssysteem van de server om daar malafide scripts te plaatsen en uiteindelijk ook uit te voeren.

Hoe misbruiken hackers uw hosting?

Een courante werkwijze die gehanteerd wordt is het misbruiken van de basistemplate van de administratiemodule. Hackers willen zekerheid en een zekerheid die ze hebben op Joomla is dat de “Bluestork” template aanwezig is. We merken ook dat veel mensen denken dat de Bluestork template lek is, maar dit is niet het geval.

In de Joomla administrator backend kan je vrij eenvoudig templates editeren. Op die manier slagen hackers erin om hun eigen code in die template te injecteren. Template files zoals “index.php” en “error.php” worden op die manier vaak voorzien van malafide code, maar er worden ook vaak extra bestanden bijgeplaatst.

Deze bestanden bevatten vaak scriptjes die spam uitsturen of andere websites aanvallen. Het spreekt voor zich dat dit illegale praktijken zijn die we moeten tegenhouden.

Hoe lost u dit op?

Het security verslag geeft aan dat het lek in alle Joomla 1.6.x, 1.7.x versies zit en ook in versies 2.5.0, 2.5.1 en 2.5.2. Het lek werd gedicht in Joomla versie 2.5.3

Wij raden elke Joomla gebruiker aan om te upgraden naar de recentste versie van de 2.5 release. Momenteel is Joomla 2.5.8 de meest recente versie. Deze kan op de Joomla site gedownload worden.

Het is ontzettend belangrijk dat u deze upgrade zo snel mogelijk doorvoert, anders loopt u het risico om zelf gehackt te worden.

Daarnaast is het ook noodzakelijk om in te loggen in de administratiemodule om daar na te gaan of hackers erin geslaagd zijn om valse gebruikers aan te maken. Wanneer u zou merken dat er gebruikers actief zijn die er niet horen te staan, gelieve deze dan zo snel mogelijk te wissen.

We vragen u ook om de map “administrator/templates/bluestork” te controleren. Als daar malafide bestanden staan, gelieve deze te verwijderen. Gelieve ook na te gaan of de bestanden van deze template gecompromitteerd zijn.

Wat als u niet in staat bent om te upgraden?

Hoewel wij ten zeerste aanraden om uw Joomla installatie te upgraden, begrijpen we dat dit niet altijd mogelijk is. Sommige exotische modules kunnen niet overweg met nieuwere versies, of er zijn onvoldoende technische resources beschikbaar om de upgrade te doen.

In dat geval kan u ook de gevolgen wat inperken. Aangezien de hackers toch de Bluestork template gebruiken om hun malafide data op te slaan, kunnen we gewoon de rechten op deze map afsluiten zodat hackers geen nieuwe hacks meer kunnen uploaden in deze map.

Dit is geen definitieve oplossing en het weerhoudt hackers er niet van om andere mappen te gebruiken of misbruiken. Het is enkel een middeltje om oppervlakkige hacks in te perken.

U kan dit doen door de schrijfrechten weg te nemen op “administrator/templates/bluestork” of op de volledige “administrator/templates” map.

Ook wanneer u niet kan upgraden gelden dezelfde adviezen: malafide gebruikers verwijderen uit het gebruikersbeheer en gecompromitteerde files verwijderen en vervangen door de originele bestanden.

Conclusie

Hoewel open source projecten zoals Joomla meestal kort op de bal spelen, is dit een ingrijpende issue die een impact heeft op een groot aantal versies. Wij raden u aan om zo snel mogelijk in te grijpen en bovenstaande adviezen te volgen.

Als u moeilijkheden ervaart bij het controleren, upgraden of beveiligen van uw Joomla installatie, vraag dan zeker hulp aan het Combell support team. Zij zullen u met raad en daad bijstaan.