[ALERTE] Compromission d’un système à distance via une vulnérabilité 0day au sein de Joomla!

[ALERTE] Compromission d’un système à distance via une vulnérabilité 0day au sein de Joomla!

Au vu de l’importance de l’information, le CERT-XMCO vous partage une information nouvelle concernant le CMS Joomla!.

Bulletin CXA-2015-4022
Titre Compromission d’un système à distance via une vulnérabilité 0day au sein de Joomla!
Titre officiel Critical 0-day Remote Command Execution Vulnerability in Joomla
Criticité Criticite Urgente
Date 15 Decembre 2015
Plateforme Toutes
Programme Joomla!
Exploitation Distante
Dommage Accès au système
Description

Une vulnérabilité de type 0day a été découverte au sein de Joomla!. Son exploitation permet à un attaquant d’exécuter, à distance, des commandes arbitraires sur un serveur hébergeant une version vulnérable de Joomla!.

Les branches 1.5 à 3.4 de Joomla! sont affectées par cette vulnérabilité qui est déjà exploitée par les pirates depuis au moins 2 jours. Selon la société Sucuri, les attaques seraient actuellement lancées depuis les adresses IP suivantes :

* 74.3.170.33
* 146.0.72.83
* 194.28.174.106
* 173.245.53.153
* 195.191.149.139

Les marqueurs suivants vous permettront également d’identifier des tentatives d’exploitation de cette faille à l’encontre de vos sites Joomla!. Ces marqueurs sont à rechercher dans les logs d’accès à vos sites web, et plus particulièrement dans l’entête « User-Agent » :

* JDatabaseDriverMysqli
* O:

L’éditeur a mis à disposition des correctifs de sécurité pour les versions actuellement supportées, mais également pour les versions obsolètes, disponibles aux adresses suivantes :

* https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html
* https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions

Le CERT-XMCO vous recommande l’installation de ces correctifs au plus vite. En effet, suite à la publication de cette vulnérabilité, il est fort probable que les sites reposants sur Joomla! soient pris pour cible par des pirates.

Vulnérable * Joomla! 1.5.x
* Joomla! 2.5.x
* Joomla! 3.x
Non vulnérable * Joomla! 3.4.6
Référence https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html
https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html
Correction Le CERT-XMCO recommande l’application immédiate des correctifs disponibles via les liens suivants :

* Correctifs pour les versions supportées de Joomla! :
https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html

* Correctifs pour les versions non supportées de Joomla!
https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions

Id XMCO CXA-2015-4022
Lien extranet XMCO https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-4022

Cert-XMCO