Avisos 23 de January, 2013

Increment d'activitat de defacement en el TLD .cat

En l'últim mes de desembre i gener, s'ha experimentat de manera global un increment molt notable de l'activitat anomenada "defacement", compromís de pàgina web.  Aquests atacs massius no tenen per objectiu cap domini ni tecnologia en particular, però els dominis .cat  s'han vist afectats.

 
Des de CESICAT, s'ha observat que la gran majoria dels llocs webs del TLD .cat afectats per aquesta onada d'atacs, estan desenvolupats amb programari de gestió de contingut Joomla en la seva antiga versió 1.5. No s'ha pogut determinar que el compromís es realitzi per una vulnerabilitat en concret, però sí s'ha observat que es tracten de vulnerabilitats conegudes amb existència de pegat o versió que la corregia.

 

Impacte
 
Compromís del servei web. De moment només s'ha observat que els atacants desactiven el lloc web, o bé que introdueixen arxius que demostren el compromís del sistema. Encara que no s'ha trobat cap indici de que s'hagi inclòs codi maliciós en els servidors afectats, ara mateix no es pot descartar.
 
Actualització (23/01/2013)
Existeixen evidències d'introducció de codi maliciós amb la finalitat d'execució de comandes des de remot.
 
 
Productes afectats
 
Pendent de concretar l'abast concret, la gran majoria de llocs web afectats són sistemes Joomla en la seva versió 1.5. sense actualitzar, amb una gran varietat de components o plugins de tercers sense actualitzar
 
Actualització (23/01/2013)
Han estat reportats casos on la versió de Joomla afectada és la versió 2.5.
 
 
Detecció 
 
Es recomana implementar mecanismes de monitorització dels llocs web per tal d'identificar modificacions sense consentiment.
 
En cas d'indici de compromís, es recomana:
 
examinar els logs del servidor web per tal d'identificar entrades que corresponguin a peticions realitzades amb el "user-agents" següent "BOT/0.1 (indonesian defacer)". La aparició de peticions amb aquest user-agent són indicis d'intents d'atac
examinar l'arrel pública dels documents del servei web per tal identificar arxius amb els següents noms: 
x.txt
x.gif
m.txt
sejeal.jpg
 
Actualització (23/01/2013)
 
El següents fitxers han estat trobats a diferents carpetes dels CMS afectats, fitxers de tipus codi maliciós (webshell):
 
plug-updater-js (MD5:d7f2e6e32e1f5ab65a4a723c82def321)
DXShell.txt (MD5:3fe1aed852a10a3bbd7e7a63cac45136)
 
Solució
 
En cas d'afectació, us oferim un seguit de recomanacions genèriques a considerar:
Preservar una còpia del material introduït pel atacant i dels registres de funcionament (logs) del sistema web 
Determinar la data exacta del compromís a través de la data de creació dels arxius introduïts pel atacant
Recuperar la informació del lloc web a partir d'una copia de seguretat anterior
Canviar les contrasenyes d'administració, 
Actualitzar el programari.
De manera preventiva, es desaconsella fer servir Joomla versió 1.5 en raó de la seva obsolescència.
Es recomana actualitzar els portals, i tots els components de terceres parts a les últimes versions disponibles. En el cas de Joomla aquestes versions són: 2.5.8 i 3.0.2.
 

Actualització (23/01/2013)

Per a llocs web a producció, recomanem la versió més recent de la branca 2.5 de Joomla, que és del tipus long time suport
Publicat a: Avisos