Capn3m0 WebSecurity

Video Tutorial dell’utilizzo della nota (e vecchia) vulnerabilità Joomla 1.5.x Remote Admin Password Change

Original post:
「Neuromancer」Hacking sites with Joomla (Universidade USP)

Ad Ottobre scorso avevo parlato di un Hacking che avviene inserendo un File “.htaccess” nel sito vittima che successivamente rediretta i visitatori provenienti dai più comuni Motori di Ricerca verso una pagina malevola.

Per chi volesse leggerlo ecco il link: http://www.capn3m0.org/2008/10/htaccess-hacking-redirect-per-chi-arriva-dai-motori-di-ricerca/

In questo articolo vi informo che ho individuato la prima chiamata che viene fatta al sito vittima tramite una vulnerabilità di Remote File Inclusione (RFI).

[...]

In questi giorni, come dicevo nel precedente post, sto analizzando/studiando un tipo di hacking che consiste nel redirettare i visitatori che provengono da un Motore di Ricerca verso una pagina malevola contenente link a Trojan/Malware.

Tale file “.htaccess” nella sua semplicità risulta essere furbo poiché ragiona in due modi:

1. Se non è presente alcun “.htaccess” ne crea uno all’insaputa dell’utente con il codice scritto dalla Riga 101 in poi così anche se viene aperto il file non viene visto il codice;
2. Se invece esiste già un file “.htaccess” provvedere ad aggiungere 101 righe vuote in coda e successivamente il codice senza modificare quanto già presente. Lo scopo è sempre quello di evitare che l’utente si accorga dell’infezione nel caso apra il file. [...]

In data 12 Agosto è stata scoperta una vulnerabilità del Cms Joomla versioni inferiori alla 1.5.6 che consente di sfruttare il componente “com_user” per editare a proprio piacimento la password di Administrator e, quindi, di sfruttare l’accesso Admin per eseguire defacement e simili.

Al link seguente troverete l’annuncio ufficiale:

http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html

Questo, invece, quello dal Sito Italiano:

http://www.joomlaitalia.com/content/view/323/90/

[...]