03/01/13 – Exploração de vulnerabilidade no componente JCE do Joomla
9 de janeiro de 2013 - 13:41
Descrição do problema:
Exploração de vulnerabilidade no componente JCE do Joomla que esteja em versões anteriores a 2.0.9 a qual permite a qualquer intruso o upload de arquivos de exploit, permitindo alterações do tipo DEFACING e roubo de dados do site hospedado.
Tempo de indisponibilidade do site da EMATERCE:
17h 28m 16s
Açoes para recuperação:
– Retirada do site do ar
– Criação de um snapshot para análise forense.
– Análise dos logs de acesso
– Identificação da forma de invasão
– Varredura e exclusão dos arquivos envolvidos na invasão
– Abertura de Incidente de Segurança via CSIRT e notificação aos responsáveis no órgão.
– Recuperação de backups íntegros de arquivos alterados
– Atualização do componente JCE para a versão mais atual (2.3.1)
– Notificação aos responsáveis pelo site para a troca de todas as senhas de todos os usuários e remoção de todos os componentes não utilizados.
– Liberação dos acessos ao site.
O que os gestores podem fazer para evitar:
– Atualizar, caso esteja instalado, imediatamente o componente JCE para a versão mais atual disponível emhttp://www.joomlacontenteditor.net/downloads/editor/joomla15x
– Manter versões de componentes / módulos / plugins do Joomla atualizadas e remover os que não são utilizados.
– Ao instalar novos componentes, consultar sempre antes os sites http://docs.joomla.org/Vulnerable_Extensions_List ehttp://docs.joomla.org/Investigation_of_exploits para analisar quais componentes possuem falhas de segurança conhecidas.
– Utilizar sempre senhas fortes para todos os usuários e manter a boa prática de trocá-las em prazos definidos.
– Evitar fazer backups do banco de dados e do site e manter nos servidores, aumentando o risco de roubo de informações e exploração de falhas.