Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ใน Joomla Content Editor อาจถูกฝังมัลแวร์ในเว็บไซต์

วันที่ประกาศ: 14 ธันวาคม 2555
ปรับปรุงล่าสุด: 14 ธันวาคม 2555
เรื่อง: ระวังภัย ช่องโหว่ใน Joomla Content Editor อาจถูกฝังมัลแวร์ในเว็บไซต์

ประเภทภัยคุกคาม: Intrusion, Malicious Code

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

เมื่อวันที่ 12 ธันวาคม 2555 หน่วยงาน Internet Storm Center (ISC) แจ้งว่าได้รับรายงานเว็บไซต์จำนวนมากถูกเจาะระบบและถูกฝังมัลแวร์ลงในหน้าเว็บไซต์ ซึ่งโดยส่วนใหญ่เว็บไซต์เหล่านั้นใช้ Joomla เป็นเครื่องมือในการจัดการเนื้อหา (CMS) [1] พร้อมกันนี้ หน่วยงาน CERT-Bund จากประเทศเยอรมนีได้ยืนยันว่าพบการโจมตีดังกล่าวบนเซิร์ฟเวอร์ที่ใช้งาน Joomla ในประเทศเยอรมนีด้วย

ตัวแทนจากหน่วยงาน CERT-Bund ได้ให้ข้อมูลเพิ่มเติมว่า เว็บไซต์ที่ถูกแฮ็กนั้นถูกใช้เพื่อเผยแพร่ซอฟต์แวร์แอนตี้ไวรัสปลอม โดยโค้ดอันตรายดังกล่าวถูกฝังอยู่ในแท็ก iframe [2]

เว็บไซต์ Joomla-Downloads ประเทศเยอรมนีได้ชี้แจงว่า หลายๆ เว็บไซต์นั้นถูกแฮ็กโดยใช้สคริปต์ที่เรียกว่า “Bot/0.1 (Bot for JCE)” ที่โจมตีผ่านช่องโหว่ของ Joomla Content Editor ซึ่งสคริปต์ดังกล่าวจะใส่ไฟล์ .gif เข้ามาเซิร์ฟเวอร์ จากนั้นเปลี่ยนชื่อไฟล์ดังกล่าวเป็น story.php ซึ่งเป็น PHP Shell เพื่อใช้ในการแทรกโค้ด iframe ลงในไฟล์ JavaScript สองไฟล์คือ /media/system/js/mootools.js หรือ /media/system/js/caption.js [3]

ผลกระทบ

เว็บไซต์ที่ถูกแฮ็กอาจถูกแทรกโค้ดอันตรายในแท็ก iframe เพื่อเผยแพร่มัลแวร์ หรืออาจถูกผู้ไม่หวังดีควบคุบเพื่อใช้ในทางที่ไม่เหมาะสมได้

ระบบที่ได้รับผลกระทบ

เว็บไซต์ที่ใช้งาน Joomla ที่มีคอมโพเนนต์ Joomla Content Editor เวอร์ชันเก่ากว่า 2.0.11 ตัวอย่างหน้าจอ Joomla Content Editor เป็นดังรูปที่ 1

Al2012co0031-1.png
รูปที่ 1 หน้าจอ Joomla Content Editor [4]

ข้อแนะนำในการป้องกันและแก้ไข

ผู้ดูแลเว็บไซต์ที่ใช้งาน Joomla ควรตรวจสอบว่าได้มีการติดตั้ง Joomla Content Editor อยู่ในระบบหรือไม่ หากติดตั้งอยู่ควรอัพเดตเป็นเวอร์ชันล่าสุด [4] หากพบว่ากำลังใช้งาน JCE เวอร์ชั่นเก่ากว่า 2.0.11 อยู่ ควรตรวจสอบไฟล์ JavaScipt ว่าถูกฝัง iframe หรือไม่ และควรตรวจสอบไฟล์ PHP Backdoor ซึ่งจะอยู่ที่ /images/stories/story.php หากพบไฟล์ดังกล่าวควรลบออกจากระบบโดยเร็ว

อ้างอิง

  1. https://isc.sans.edu/diary/Joomla+and+WordPress+Bulk+Exploit+Going+on/14677
  2. http://www.h-online.com/security/news/item/Joomla-sites-misused-to-deploy-malware-1766841.html
  3. http://www.joomla-downloads.de/blick-ueber-den-tellerrand/1998-alte-versionen-des-jce-sind-ziel-von-massenhacks.html
  4. http://www.joomlacontenteditor.net/

Clear