Dziennik Internautów kolejny już raz w ciągu ostatnich tygodni dostał powiadomienie o ataku na stronę zbudowaną w oparciu o system zarządzania treścią Joomla! - włamania dokonano kilka dni po ujawnieniu czterech luk bezpieczeństwa we wszystkich wersjach CMS-u do 1.5.6 włącznie. Ukazała się już stosowna aktualizacja, Secunia zaleca jej niezwłoczną instalację.
W ubiegłym miesiącu pisaliśmy o fali ataków, której uległy polskie witryny - włamań dokonała osoba podpisująca się jako Deep-Blues ~ Türk Hacker. Wykorzystała ona najprawdopodobniej krytyczną lukę w zabezpieczeniach funkcji ponownego ustawiania hasła w systemie Joomla! Problem został usunięty w wydaniu 1.5.6.

Czytelnik Dziennika Internautów, który prosił o nieujawnianie jego nazwiska, poinformował o włamaniu na stronę stworzoną w oparciu o tę właśnie wersję Joomla! Poprzez błędy w systemie cyberprzestępca pozmieniał wszystkie hasła na serwerze, wskutek czego nie można było ani odebrać poczty, ani zalogować się na FTP.

Warto w tym miejscu zauważyć, że w ubiegłym tygodniu ukazała się kolejna aktualizacja systemu, oznaczona numerem 1.5.7. Jak wynika z komunikatu towarzyszącego poprawce, łata ona błąd w funkcji Jrequest::setVar umożliwiający przemycenie własnych zmiennych w zwracanych rekordach - deweloperzy określili lukę jako krytyczną.

Poza tym zlikwidowano błąd w pseudogeneratorze losowym, który poważnie ograniczał poziom entropii, ułatwiając w ten sposób odgadywanie tokenów i haseł. Następne dwie luki związane były z możliwością zmanipulowania URL-i w CMS-ie, co mogło spowodować przekierowanie odwiedzającego na strony spamerskie lub phishingowe.

Secunia zaleca jak najszybszą aktualizację systemu do najnowszego wydania. Dziennik Internautów poprosił o komentarz Polskie Centrum Joomla! - dostaliśmy list od koordynatora projektu Stefana Wajdy:

Zainteresowanie nowym Joomla! ze strony krakerów jest zrozumiałe - popularny, najczęściej stosowany, łatwy w zarządzaniu, a przy tym jeszcze ubiega się o honory i najwyższe oceny w rankingach.
Doświadczenie z Joomla 1.0 pokazuje, że nawet wiele lat pracy nad systemem (początki sięgają wszak 2001 roku) nie chroni przed lukami w bezpieczeństwie. Jeszcze w ostatniej wersji 1.0.15 eliminowano różne usterki w tej mierze. Stabilną wersję Joomla 1.5 wydano w styczniu, mamy wrzesień - ukazało się kolejnych 6 poprawionych wydań. Coraz doskonalszych, ale przecież nie doskonałych!
Niefrasobliwość administratorów? Owszem, mamy z nią często do czynienia, ale też nie wszystko od nich zależy. Po pierwsze, ochrona serwisów to także zadanie administracji serwerów! A po drugie... Tuż po ukazaniu się aktualizacji 1.5.6 skutecznie został zaatakowany serwer joomla.org. Wykorzystano lukę, która tyle co została opisana na witrynie! Krakerzy korzystają nie tylko ze swoich odkryć, ale bezwzględnie wykorzystują informacje o naprawionych już błędach. Wystarczy, że znajdą niezaktualizowane witryny.
W przypadku Joomla 1.0 opóźnienia w aktualizacji można było zrozumieć, w przypadku Joomla 1.5 nie ma usprawiedliwienia! Aktualizacje, zwłaszcza gdy mamy łatki naprawiające luki w bezpieczeństwie, powinny być wykonane natychmiast!