Zero-day voor verouderde Joomla-websites publiek gemaakt

Er is een kwetsbaarheid in oudere versies van contentmanagementsysteem Joomla publiek gemaakt. Joomla is een populaire webgebaseerde applicatie voor het bouwen en beheren van websites.

De zero-day heeft invloed op alle Joomla-versies van 3.0.0 tot 3.4.6, uitgebracht tussen eind september 2012 en half december 2015. De Italiaanse beveiligingsonderzoeker Alessandro Groppo van Hacktive Security ontdekte het beveiligingslek. Volgens ZDNet is proof-of-conceptcode voor de exploit online beschikbaar gemaakt en triviaal om te exploiteren. 

De kwetsbaarheid betreft een zogeheten PHP-objectinjectie, die onder bepaalde scenario’s kan leiden tot uitvoering van code op afstand. Zo kan het bijvoorbeeld worden misbruikt via het aanmeldformulier van Joomla CMS. Het wordt daardoor mogelijk voor aanvallers om ​​code uit te voeren op de onderliggende server van de site.

Vergelijkbaar aan ouder lek

Volgens de beveiligingsonderzoeker is het lek vergelijkbaar met CVE-2015-8562. Deze PHP-objectinjectie leidde eerder tot uitvoering van externe code. Al is er geen onderling verband aangetoond tussen beide PHP-objectinjecties. De bekende Joomla-exploit CVE-2015-8562 wordt tot op de dag van vandaag misbruikt, sinds deze in december 2015 werd ontdekt.

De recent ontdekte zero-day heeft nog geen CVE-identificatie. Anders dan CVE-2015-8562 heeft deze zero-day impact op een kleiner aantal Joomla-websites. Zo zijn alleen Joomla 3.x-versies kwetsbaar. De in 2015 ontdekte zero-day was van invloed op alle Joomla-versies, die op dat moment beschikbaar waren (versies 1.5.x, 2 .x en 3.x).

Ondanks dat het een kleiner aantal sites treft, heeft de door Groppo ontdekte kwetsbaarheid grotere impact. Dat heeft met name te maken dat het volledig onafhankelijk is van de (server)omgeving. Dat vergeleken met CVE-2015-8562, die alleen werkte tegen servers met een PHP-versie vóór 5.4.45, 5.5.29 of 5.6.13.

Compatibiliteit

Veel websites zijn bewust voorzien van verouderde CMS-versies vanwege compatibiliteit met oudere plug-ins en thema’s. Het is overigens niet nodig om de Joomla-versie bij te werken naar de allernieuwste versie, al zou dat wel de beste oplossing zijn. Bijwerken naar elke Joomla-versie van 3.4.7 of hoger voorkomt aanvallen. De huidige Joomla-versie is 3.9.12.