Das gerade erschienene Joomla Security Release mit der Versionsnummer 3.6.4 schließt eine kritische Sicherheitslücke, die schon seit Jahren besteht: Durch sie können unberechtigterweise Nutzer angelegt und mit Admin-Privilegien ausgestattet werden.
Es klingt schon ein wenig kurios: Eine seit der Version 1.6 bestehende Sicherheitslücke im weltweit am zweithäufigsten heruntergeladenen Content Management System Joomla erlaubt es, Nutzer unberechtigtweise anzulegen und diese mit Admin-Rechten auszustatten. Damit kann eine Seite komplett übernommen werden.
Dass diese Sicherheitslücke erst jetzt publik wird, liegt an einem Bugfix, der erst in der Version 3.4.4 durchgeführt wurde und so die Sicherheitslücke erst angreifbar machte. Dazu muss man mit einem selbst angelegten HTML-Formular einen Aufruf zum Anlegen eines Nutzers absetzen. Das funktioniert sogar dann, wenn die Nutzerregistrierung in Joomla deaktiviert ist. Dabei macht sich der Angreifer einen Controller zunutze, der die Seitenkonfiguration und die eingegebenen Daten nicht korrekt überprüft.
Bis zu Version 3.4.3 führte jedoch ein jedoch Bug dazu, dass diese Sicherheitslücke nicht ausgenutzt werden konnte. Mit der Behebung des Bugs in Version 3.4.4 änderte sich dies aber.
Um zumindest in einem ersten Test zu überprüfen, ob man bereits Opfer eines Angriffs geworden ist, empfiehlt sich ein Blick in die Liste der angelegten Nutzer. Sollte dort der Nutzername db_cfg auftauchen, dann ist das ein Zeichen dafür, dass die Webseite betroffen ist. Auch sollte man in der Logdatei des Servers nach diesen IP-Adressen suchen:
82.76.195.141
82.77.15.204
81.196.107.174
185.129.148.216
Diese wurden für die initiale Angriffswelle genutzt.
Die Empfehlung lautet, auf jeden Fall auf die neueste Version 3.6.4 von Joomla zu wechseln. Vor allem diejenigen, die eine Version von 3.4.4 an aufwärts verwenden, sollten sich beeilen, doch auch allen anderen Nutzern sei das Update dringend empfohlen. Gleichzeitig sollten alle eingesetzten Module, Plugins und Komponenten auf den neuesten Stand gebracht werden. Vor dem Update sollte ein Backup durchgeführt werden. Das Update sollte nach Möglichkeit zuvor auf einer Testinstanz geprüft werden, um Beeinträchtigungen der Live-Webseite zu vermeiden.
Titelbild © dacianlogan - Fotolia.com
