Author Topic: เตือนภัย ช่องโหว่ใน Joomla Content Editor  (Read 1707 times)

0 Members and 1 Guest are viewing this topic.

Offline Nick

  • Administrator
  • Platinum Member
  • *
  • Posts: 46028
  • Karma: +1000/-0
  • Gender: Male
  • NickCS
    • http://www.facebook.com/nickcomputerservices
    • http://www.twitter.com/nickcomputer
    • Computer Chiangmai

เรื่อง: ระวังภัย ช่องโหว่ใน Joomla Content Editor อาจถูกฝังมัลแวร์ในเว็บไซต์

ประเภทภัยคุกคาม: Intrusion, Malicious Code

ข้อมูลทั่วไป

เมื่อวันที่ 12 ธันวาคม 2555 หน่วยงาน Internet Storm Center (ISC) แจ้งว่าได้รับรายงานเว็บไซต์จำนวนมากถูกเจาะระบบและถูกฝังมัลแวร์ลงในหน้าเว็บไซต์ ซึ่งโดยส่วนใหญ่เว็บไซต์เหล่านั้นใช้ Joomla เป็นเครื่องมือในการจัดการเนื้อหา (CMS) [1] พร้อมกันนี้ หน่วยงาน CERT-Bund จากประเทศเยอรมนีได้ยืนยันว่าพบการโจมตีดังกล่าวบนเซิร์ฟเวอร์ที่ใช้งาน Joomla ในประเทศเยอรมนีด้วย

ตัวแทนจากหน่วยงาน CERT-Bund ได้ให้ข้อมูลเพิ่มเติมว่า เว็บไซต์ที่ถูกแฮ็กนั้นถูกใช้เพื่อเผยแพร่ซอฟต์แวร์แอนตี้ไวรัสปลอม โดยโค้ดอันตรายดังกล่าวถูกฝังอยู่ในแท็ก iframe [2]

เว็บไซต์ Joomla-Downloads ประเทศเยอรมนีได้ชี้แจงว่า หลายๆ เว็บไซต์นั้นถูกแฮ็กโดยใช้สคริปต์ที่เรียกว่า “Bot/0.1 (Bot for JCE)” ที่โจมตีผ่านช่องโหว่ของ Joomla Content Editor ซึ่งสคริปต์ดังกล่าวจะใส่ไฟล์ .gif เข้ามาเซิร์ฟเวอร์ จากนั้นเปลี่ยนชื่อไฟล์ดังกล่าวเป็น story.php ซึ่งเป็น PHP Shell เพื่อใช้ในการแทรกโค้ด iframe ลงในไฟล์ JavaScript สองไฟล์คือ /media/system/js/mootools.js หรือ /media/system/js/caption.js [3]

ผลกระทบ

เว็บไซต์ที่ถูกแฮ็กอาจถูกแทรกโค้ดอันตรายในแท็ก iframe เพื่อเผยแพร่มัลแวร์ หรืออาจถูกผู้ไม่หวังดีควบคุมเพื่อใช้ในทางที่ไม่เหมาะสมได้

ระบบที่ได้รับผลกระทบ

เว็บไซต์ที่ใช้งาน Joomla ที่มีคอมโพเนนต์ Joomla Content Editor เวอร์ชันเก่ากว่า 2.0.11 ตัวอย่างหน้าจอ Joomla Content Editor เป็นดังรูปที่ 1


รูปที่ 1 หน้าจอ Joomla Content Editor [4]

ข้อแนะนำในการป้องกันและแก้ไข

ผู้ดูแลเว็บไซต์ที่ใช้งาน Joomla ควรตรวจสอบว่าได้มีการติดตั้ง Joomla Content Editor อยู่ในระบบหรือไม่ หากติดตั้งอยู่ควรอัพเดตเป็นเวอร์ชันล่าสุด [4] หากพบว่ากำลังใช้งาน JCE เวอร์ชั่นเก่ากว่า 2.0.11 อยู่ ควรตรวจสอบไฟล์ JavaScipt ว่าถูกฝัง iframe หรือไม่ และควรตรวจสอบไฟล์ PHP Backdoor ซึ่งจะอยู่ที่ /images/stories/story.php หากพบไฟล์ดังกล่าวควรลบออกจากระบบโดยเร็ว

อ้างอิง

https://isc.sans.edu/diary/Joomla+and+WordPress+Bulk+Exploit+Going+on/14677
http://www.h-online.com/security/news/item/Joomla-sites-misused-to-deploy-malware-1766841.html
http://www.joomla-downloads.de/blick-ueber-den-tellerrand/1998-alte-versionen-des-jce-sind-ziel-von-massenhacks.html
http://www.joomlacontenteditor.net/



 
Share this topic...
In a forum
(BBCode)
In a site/blog
(HTML)


Related Topics

  Subject / Started by Replies Last post
0 Replies
2746 Views
Last post March 17, 2009, 06:36:37 PM
by Reporter
0 Replies
6626 Views
Last post October 01, 2010, 12:36:30 AM
by Nick
0 Replies
2204 Views
Last post October 07, 2010, 12:04:12 AM
by Nick
0 Replies
4556 Views
Last post November 10, 2010, 04:45:29 PM
by Nick
0 Replies
1382 Views
Last post July 03, 2012, 10:30:00 AM
by Nick
0 Replies
1621 Views
Last post July 06, 2012, 01:16:52 PM
by Nick
0 Replies
1688 Views
Last post October 14, 2012, 06:12:17 PM
by Nick
0 Replies
1096 Views
Last post February 17, 2015, 07:29:18 AM
by Benjugo