News & Public Relation > Security Update
เตือนภัย ช่องโหว่ใน Joomla Content Editor
(1/1)
Nick:
เรื่อง: ระวังภัย ช่องโหว่ใน Joomla Content Editor อาจถูกฝังมัลแวร์ในเว็บไซต์
ประเภทภัยคุกคาม: Intrusion, Malicious Code
ข้อมูลทั่วไป
เมื่อวันที่ 12 ธันวาคม 2555 หน่วยงาน Internet Storm Center (ISC) แจ้งว่าได้รับรายงานเว็บไซต์จำนวนมากถูกเจาะระบบและถูกฝังมัลแวร์ลงในหน้าเว็บไซต์ ซึ่งโดยส่วนใหญ่เว็บไซต์เหล่านั้นใช้ Joomla เป็นเครื่องมือในการจัดการเนื้อหา (CMS) [1] พร้อมกันนี้ หน่วยงาน CERT-Bund จากประเทศเยอรมนีได้ยืนยันว่าพบการโจมตีดังกล่าวบนเซิร์ฟเวอร์ที่ใช้งาน Joomla ในประเทศเยอรมนีด้วย
ตัวแทนจากหน่วยงาน CERT-Bund ได้ให้ข้อมูลเพิ่มเติมว่า เว็บไซต์ที่ถูกแฮ็กนั้นถูกใช้เพื่อเผยแพร่ซอฟต์แวร์แอนตี้ไวรัสปลอม โดยโค้ดอันตรายดังกล่าวถูกฝังอยู่ในแท็ก iframe [2]
เว็บไซต์ Joomla-Downloads ประเทศเยอรมนีได้ชี้แจงว่า หลายๆ เว็บไซต์นั้นถูกแฮ็กโดยใช้สคริปต์ที่เรียกว่า “Bot/0.1 (Bot for JCE)” ที่โจมตีผ่านช่องโหว่ของ Joomla Content Editor ซึ่งสคริปต์ดังกล่าวจะใส่ไฟล์ .gif เข้ามาเซิร์ฟเวอร์ จากนั้นเปลี่ยนชื่อไฟล์ดังกล่าวเป็น story.php ซึ่งเป็น PHP Shell เพื่อใช้ในการแทรกโค้ด iframe ลงในไฟล์ JavaScript สองไฟล์คือ /media/system/js/mootools.js หรือ /media/system/js/caption.js [3]
ผลกระทบ
เว็บไซต์ที่ถูกแฮ็กอาจถูกแทรกโค้ดอันตรายในแท็ก iframe เพื่อเผยแพร่มัลแวร์ หรืออาจถูกผู้ไม่หวังดีควบคุมเพื่อใช้ในทางที่ไม่เหมาะสมได้
ระบบที่ได้รับผลกระทบ
เว็บไซต์ที่ใช้งาน Joomla ที่มีคอมโพเนนต์ Joomla Content Editor เวอร์ชันเก่ากว่า 2.0.11 ตัวอย่างหน้าจอ Joomla Content Editor เป็นดังรูปที่ 1
รูปที่ 1 หน้าจอ Joomla Content Editor [4]
ข้อแนะนำในการป้องกันและแก้ไข
ผู้ดูแลเว็บไซต์ที่ใช้งาน Joomla ควรตรวจสอบว่าได้มีการติดตั้ง Joomla Content Editor อยู่ในระบบหรือไม่ หากติดตั้งอยู่ควรอัพเดตเป็นเวอร์ชันล่าสุด [4] หากพบว่ากำลังใช้งาน JCE เวอร์ชั่นเก่ากว่า 2.0.11 อยู่ ควรตรวจสอบไฟล์ JavaScipt ว่าถูกฝัง iframe หรือไม่ และควรตรวจสอบไฟล์ PHP Backdoor ซึ่งจะอยู่ที่ /images/stories/story.php หากพบไฟล์ดังกล่าวควรลบออกจากระบบโดยเร็ว
อ้างอิง
https://isc.sans.edu/diary/Joomla+and+WordPress+Bulk+Exploit+Going+on/14677
http://www.h-online.com/security/news/item/Joomla-sites-misused-to-deploy-malware-1766841.html
http://www.joomla-downloads.de/blick-ueber-den-tellerrand/1998-alte-versionen-des-jce-sind-ziel-von-massenhacks.html
http://www.joomlacontenteditor.net/
Navigation
[0] Message Index
Go to full version