Door: Martijn Maandag.Categorie: Algemeen.

Een verklaring over het recente rapport door Check Point

Er is een rapport door Check Point Research onder onze aandacht gebracht met betrekking tot een veiligheid kwetsbaarheid  welke in december 2015 is opgelost. Dit rapport is opgepakt door Threat Post

Beide rapporten bevatten veel onnauwkeurigheden en suggereren dat de genoemde kwetsbaarheid nog bestaat. Deze verklaring dient om de feiten rondom dit probleem duidelijk te maken. We willen onze gebruikers daarnaast verzekeren dat, hoewel deze berichten proberen te beweren dat dit een bestaand probleem is: De waarheid is dat dat volledig onjuist is.

 Met dat in gedachte willen we een paar zaken verduidelijken:

  • Er is momenteel geen veiligheidsprobleem met de JMail class.
  • Het onderliggende probleem, dat gebruikt wordt om de achterdeur aan te maken en op te slaan, is meer een PHP probleem dan één van Joomla.
  • Een succesvolle aanval is alleen mogelijk met ernstig verouderde PHP en Joomla versie welke meer dan 3 jaar verouderd zijn (PHP versies 5.4.45, 5.5.29, 5.6.13 en alle hogere versies zijn gerepareerd voor de kwetsbaarheid). Werp een blik op onze recente artikel over het belang uw site up-to-date te houden:
    https://www.joomla.org/announcements/general-news/5757-keeping-your-joomla-website-up-to-date.html
  • Een oplossing voor Joomla 1.5, 2.5 en 3 is meer dan 3 jaar geleden uitgebracht in december 2015. Patches voor EOL versies zijn uitgebracht tijdens de Joomla 3.4.7 release. Patches voor de andere Joomla versies zijn nog steeds hier beschikbaar: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions. Het Joomla project stuurde, op het moment van ontdekken, ook WAF regels aan veel shared hosting providers, om te beschermen tegen gebruik van deze kwetsbaarheid.
  • Het genoemde bestand in het Check Point's rapport is geen Joomla core bestand, het is een kopie van de oorspronkelijke class die gebruikt wordt om een achterdeur te verbergen.
  • Het bestand "override" de core JMail class NIET.

Meer informatie over het exploit:

Het schema dat Check Point beschrijft is een klassieker - waar een aanvaller een bekend veiligheidsprobleem uitbuit. Het probleem is meer dan 3 jaar oud en gaat over een veiliheidprobleem dat in PHP is gevonden, niet in de Joomla core.  Meer informatie over het probleem kan hier gevonden worden:

https://developer.joomla.org/security-centre/639-20151206-core-session-hardening.html

https://bugs.php.net/bug.php?id=70219

Door het uitbuiten van dit probleem kan een aanvaller een achterdeur in een site aanmaken, welke gebruikt kan worden voor kwaadaardige handelingen. Om ontdekking zo moeilijk mogelijk te maken, maken aanvallers vaak gebruik van kopieën van echte applicatie bestanden (in dit geval een kopie van Joomla's mailing class) om hun kwaadaardige code op te nemen. Deze kopieën zullen nooit gebruikt worden in normale applicatie uitvoering, er is dus geen "override" zoals in het rapport wordt beweerd, ze gebruikten het bestand allen om de echte achterdeur te verbergen.

Dit is de vertaling van een bericht op Joomla.org.