Boom di attacchi contro i siti su piattaforma Joomla

Nov 02, 2016 Marco Schiaffino Attacchi, Hacking, In evidenza, News, RSS, Vulnerabilità 0

Il 25 ottobre Joomla ha rilasciato una patch che corregge due vulnerabilità “critiche”. Immediatamente dopo sono partiti gli attacchi. Registrati 30.000 tentativi di hacking in 48 ore.

Ogni volta che salta fuori una vulnerabilità in un software molto popolare, si ripete la stessa storia: appena la falla di sicurezza diventa pubblica, i pirati si attrezzano in tempo record e cercano di colpire prima che gli amministratori abbiano implementato le patch.

Nel caso di Joomla, che il 25 ottobre ha pubblicato un aggiornamento che metteva mano a due vulnerabilità critiche della sua piattaforma, il fenomeno però ha assunto dimensioni spaventose.

Secondo quanto riportato da Daniel Cid di Sucuri, tutto è accaduto una manciata di ore dopo l’annuncio dell’aggiornamento.

Le due vulnerabilità, come abbiamo riportato, consentono a un attaccante di registrarsi a un sito e ottenere privilegi di amministratore. Joomla ha volutamente evitato di fornire maggiori dettagli sulle falle di sicurezza, ma a quanto pare l’accorgimento non è stato sufficiente per evitare un’ondata di attacchi.

Come spiega lo stesso Cid, infatti, per mettere a punto un exploit in grado di sfruttare le vulnerabilità è sufficiente eseguire un processo di reverse engineering sulla patch distribuita. Un’operazione che molti hanno portato a termine una manciata di ore dopo la pubblicazione dell’aggiornamento.

A meno di 24 ore dal rilascio della patch, gli strumenti di monitoraggio di Sucuri, spiega Daniel Cid, hanno cominciato a rilevare le prime attività anomale: ping e collegamenti ai siti per verificare la presenza della vulnerabilità.

La situazione, però, è peggiorata rapidamente. Dalle 9 di sera (ora italiana) del 26 ottobre è partito un attacco su larga scala che aveva come obiettivo quello di colpire i siti creati con Joomla per creare un utente con nome db_cfg e password fsugmze3.

Questo primo attacco, secondo Sucuri, sarebbe stato portato da tre indirizzi IP (82.76.195.141; 82.77.15.204; 81.196.107.174) che fanno riferimento alla Romania. In contemporanea, un secondo attacco con caratteristiche simili è partito da un altro indirizzo IP (185.129.148.216).

L’aumento esponenziale di attacchi nei confronti dei siti creati con Joomla è davvero impressionante.

Nelle ore successive gli attacchi sono diventati numerosissimi. Sucuri, attraverso i suoi strumenti di monitoraggio, ne ha registrati più di 27.000.

Il dato, però, si riferisce solo ai siti che la società di sicurezza è in grado di monitorare e, di conseguenza, è presumibile che il numero di attacchi sia decisamente superiore.

Secondo i ricercatori di Sucuri, è ragionevole dare per scontato che qualsiasi sito che non abbia implementato l’aggiornamento in tempi rapidi sia stato compromesso.

Il suggerimento per gli amministratori (oltre ad aggiornare il software il prima possibile) è di controllare i log di sistema confrontandoli con gli indirizzi IP riportati e con il comando task=user.register. La loro presenza nei log è un indizio di una possibile compromissione.

Condividi l'articolo