Nuovo bug e exploit 0day per Joomla 1.5.26?

Da questa mattina, in ogni sito con Joomla 1.5.26 che gestisco sono comparsi dei nuovi utenti registrati, sebbene la registrazione utente non sia abilitata nella configurazione di Joomla.

Cercando su Google non ho trovato quasi nulla, se non un forum tedesco in cui qualcuno si pone il problema.

Secondo me si tratta di un nuovo 0day per Joomla 1.5.26 che consente di creare utenti anche quando non dovrebbe essere possibile. Speriamo si tratti solo di questo e non di un vero exploit che, una volta creato l’utente, possa ottenere il ruolo di Administrator o Super Administrator o, peggio ancora, possa permettere di caricare file (backdoor, phpshell, exploits, ecc).

Ho notato quanto segue:

  1. Se la registrazione da frontend è abilitata, viene creato un nuovo utente abilitato
  2. Se la registrazione da frontend è disabilitata, viene creato un nuovo utente non ancora abilitato

Questa è la notifica che ho ricevuto via mail:

Salve Amministratore,

Un nuovo utente si è registrato su Bombole Elio.
Questi sono i suoi dati:
Nome – gufsuuza69
E-mail – gufsuuza6956@karbideus.info
Nome utente – gufsuuza69
Non rispondere a questo messaggio in quanto generato automaticamente solo a scopo informativo.

In tutti i siti con Joomla 1.5.26 ho ricevuto una notifica simile, la parte in comune è il dominio cui è associata la casella email: karbideus.info

Questo invece quanto trovato nel LOG FILE di apache2:

5.149.248.84 – – [11/Sep/2013:17:02:16 -0700] “GET /index.php?option=com_user&task=register HTTP/1.1″ 200 6776 “-” “Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.2 Safari/537.36”
5.149.248.84 – – [11/Sep/2013:17:02:16 -0700] “POST /component/user/ HTTP/1.1″ 200 115 “-” “Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.2 Safari/537.36”

Per tutti i siti l’IP utilizzato è sempre lo stesso: 5.149.248.84

Questo quanto emerge dal whois sull’IP:

inetnum:        5.149.248.0 – 5.149.249.255
netname:        FN-NA1
descr:          FORTUNIX NETWORKS L.P.
country:        NL
admin-c:        EC5888-RIPE
tech-c:         EC5888-RIPE
status:         ASSIGNED PA
mnt-by:         FORTUNIX-NETWORKS
source:         RIPE # Filtered

person:         Eugene Chemborisov
address:        Suite 1, 78 Montgomery Street, Edinburgh, Scotland, EH7 5JA
phone:          +18889325681
nic-hdl:        EC5888-RIPE
mnt-by:         FORTUNIX-NETWORKS
source:         RIPE # Filtered

% Information related to ‘5.149.248.0/23AS59711’

route:          5.149.248.0/23
descr:          FortunixNetworks.NL
origin:         AS59711
mnt-by:         FORTUNIX-NETWORKS
source:         RIPE # Filtered

Questo il rimedio temporaneo che consiglio a tutti gli utilizzatori di Joomla 1.5.26:

  1. Eliminare gli utenti sconosciuti, soprattutto se hanno nella mail il dominio karbideus.info
  2. Disabilitare la registrazione utente se non strettamente necessaria (sito -> configurazione -> sistema -> Abilita registrazione Utenti: NO)
  3. Bloccare questa classe di IP nel file .htaccess: 5.149.248.0/23
    1. Codice da inserire nel .htaccess: deny from 5.149.248.0/23

Restiamo in attesa di qualche notizia dalla community di Joomla.

Se avete qualche notizia su 0day per Joomla 1.5.26 fatemi sapere!!

3 pensieri riguardo “Nuovo bug e exploit 0day per Joomla 1.5.26?”

  1. E’ accaduta una cosa identica su molti dei miei domini con joomla 1.5.26.
    Utente registrato dal medesimo dominio: karbideus.info

  2. Confermo, oggi 13/09/2013 anche a me sono arrivate notifiche della registrazione di utenti con dominio mail @karbideus.info (in un caso ho trovato anche un indirizzo hotmail) ho controllato tutti i miei siti ed ho riscontrato la solita registrazione nelle versioni di joomla 1.5
    Prima di cercare notizie su Internet e leggere questo avvertimento anche io ho provveduto naturalmente a eliminare gli account farudolenti e a disabilitare la funzione di registrazione per gli utenti .
    Utilizzando il servizio Whois sul dominio karbideus.info il dominio risulterebbe registrato il 02/09/2013 appena dieci giorni prima dell’ exploit, anche se è attualmente irraggiungibile tramite internet.

    Domain Name:KARBIDEUS.INFO

    Created On:02-Sep-2013 11:57:59 UTC

    Last Updated On:12-Sep-2013 17:12:25 UTC

    Expiration Date:02-Sep-2014 11:57:59 UTC

    Bloccare la classe degli indirizzi IP potrebbe essere una soluzione solo se chi ha eseguito l’exploit non utilizzi per il futuro altri indirizzi IP (magari la stessa classe rilevata per questo attacco può essere stata utilizzata in modo fraudolento all’insaputa dei veri utilizzatori) per mezzo di Proxy ma non mette al sicuro da eventuali altri tentativi, presumo comunque la disabilitazione della registrazione da parte di nuovi utenti metta al sicuro da questo tipo di attacco visto che i tutti i miei siti la possibilità di registrazione per nuovi utenti era permessa.

  3. Ma dal sito ufficiale degli sviluppatore non c’è scritto ancora nulla quindi non ci sono conferme ufficiali e patch.
    Nei miei siti in joomla 1.5.26 (ormai pochissimi visto che li ho migrati quasi tutti alla 2.5 o superiore) non ho riscontrato problemi, sia con registrazione permessa sia senza.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *