La publication d'un patch pour Joomla a permis à des cyberpirates, par simple rétro-ingénierie, d'attaquer des sites web ne bénéficiant pas encore d'une mise à jour.
Des sites web reposant sur le CMS Joomla sont assaillis par des cyberpirates exploitant deux failles de création de compte.
Deux vulnérabilités liées à la création de compte dans le CMS Joomla sont massivement exploitées par des cyberpirates alors que des correctifs liés à ces failles ont été publiés la semaine dernière. Il s'agit une nouvelle fois d'une course contre la montre entre les hackers et les administrateurs de ces plates-formes. Les failles permettent de créer des comptes avec des privilèges élevés sur les sites reposant sur la populaire plate-forme de gestion de contenu Joomla, même si l'enregistrement du compte a été désactivé. Un patch correctif Joomla 3.6.4 a été publié mardi dernier, mais il n'a pas encore été testé ni appliqué par tous les sites web clients (d'Harvard, le journal du congrès The Hill, Linux.com, Guggenheim.org ou encore Kellogg's)
Pour comprendre comment exploiter ces failles, les cyberpirates ont simplement étudié les patchs proposés avant de rechercher les sites web ne bénéficiant pas encore de cette mise à jour, selon les chercheurs de la firme de sécurité Sucuri. « Moins de 24 heures après la divulgation initiale, nous avons commencé à voir des tests et des petits pings sur certains de nos pots de miel essayant de vérifier si cette vulnérabilité était présente », a expliqué dans un billet de blog Daniel Cid, CTO de Sucuri. « Moins de 36 heures après la divulgation initiale, nous avons commencé à voir des tentatives d'exploitation massive de ces failles un peu partout sur le web ».
Mise à jour recommandée sans délai
Les attaques ont commencé mercredi dernier et ont rapidement augmenté en nombre, atteignant presque 28 000 vendredi, un chiffre qui prend uniquement en compte la base clients de Sucuri. Pratiquement tous les sites web Joomla figurant sur le radar de la firme spécialisée dans la sécurité ont été touchés. « Si vous n'avez pas encore mis à jour votre site Joomla, vous êtes probablement déjà compromis », a ajouté le CTO de Sucuri, précisant que les administrateurs de sites Joomla doivent immédiatement mettre à jour leur CMS et vérifier si de nouveaux comptes ont été créés. Les journaux d'accès du site doivent également être examinés pour repérer les demandes qui contiennent la séquence « task = user.register ».
Joomla est le deuxième système de gestion de contenu le plus populaire après WordPress et il est utilisé par de nombreuses entreprises pour créer à la fois des sites-vitrines et des sites web internes.
Suivez-nous