Nieuws

Grootschalige aanvallen op Joomla-sites waargenomen

zaterdag 29 oktober 2016, 14:56 door Redactie, 16 reacties

Eigenaren en beheerders van websites die op het Joomla-platform draaien en de belangrijke beveiligingsupdate die afgelopen dinsdag uitkwam nog niet hebben geïnstalleerd moeten er zo goed als zeker van uitgaan dat hun website door aanvallers is overgenomen. Dat stelt beveiligingsbedrijf Sucuri.

Sinds het verschijnen van de update zijn er grootschalige aanvalspogingen op Joomla-sites waar genomen, zo laat onderzoeker Daniel Cid weten. Via de twee kwetsbaarheden die dinsdag werden gepatcht kan een aanvaller op afstand een beheerdersaccount aanmaken en bijvoorbeeld backdoor-bestanden uploaden om zo volledige controle over de website te krijgen.

24 uur na het verschijnen van de patch zagen de honeypots van Sucuri al tests waarbij werd gekeken of de kwetsbaarheden aanwezig waren. In minder dan 36 uur na het verschijnen van de update zijn er grootschalige aanvalspogingen waargenomen. "We denken dat elke Joomla-site die niet is geüpdatet zeer waarschijnlijk is gehackt", aldus Cid. Aan de hand van de gebruikersnaam "db_cfg" en verschillende ip-adressen kunnen beheerders controleren of dit het geval is.

Vanwege de kwetsbaarheden gaf ook het Nationaal Cyber Security Centrum (NCSC) van de overheid een waarschuwing af. Joomla is na WordPress het populairste contentmanagementsysteem (cms) op internet. Het is meer dan 50 miljoen keer gedownload en heeft op de markt van contentmanagementsystemen een aandeel van 6,4%, achter WordPress dat met 58,8% de onbetwiste nummer een is.

Rapport: 75% internetgebruik in 2017 via mobiel of tablet

Mozilla vraagt Obama om transparant zero day-beleid

Reacties (16)

29-10-2016, 16:16 door [Account Verwijderd]

[Verwijderd]

29-10-2016, 16:20 door ph-cofi

Zou de snelheid en professionaliteit van aanvallen op zero days in de laatste jaren zijn toegenomen? Alsof hele organisaties klaar zitten om toe te slaan. Zo'n mate van georganiseerde misdaad kan alleen maar leiden tot minder succes van online diensten, of alleen die met het grootste afweerteam blijven over. Einde succes internet.

29-10-2016, 19:52 door Anoniem

Door ph-cofi: Zou de snelheid en professionaliteit van aanvallen op zero days in de laatste jaren zijn toegenomen? Alsof hele organisaties klaar zitten om toe te slaan. Zo'n mate van georganiseerde misdaad kan alleen maar leiden tot minder succes van online diensten, of alleen die met het grootste afweerteam blijven over. Einde succes internet.

Hoezo alleen maar? Zo lang als er services bestaan worden deze niet alleen voor goede doeleinden gebruikt en dat is met websites niet anders. Het hangt er vooral vanaf wie er last van heeft en of die last groot genoeg is. Phishing sites, web shells, spam, illegale vpn diensten noem maar op worden er bij opgezet. Dat gaat al 25 jaar zo. 10 jaar geleden waren er ook veel groepen die professioneel misbruik maakte van sites, maar mensen werken daar omheen. Als voorbeelden: als services problemen veroorzaken dan komen ze op zwarte lijsten en de gemiddelde web hoster zet bij te veel klachten de website offline en de ondernemer komt er achter dat je toch echt onderhoud moet plegen net als bij zo veel andere producten en diensten. Het is dus goed mogelijk dat als maar genoeg ondernemers door krijgen dat een webshop of reclamesite een groter verlies oplevert als je er niet naar om kijkt. De meeste ondernemers zijn overigens gewend dat alles wat in de boeken komt op de een of andere manier negatief op de winst gaat drukken en dat je moet investeren om winst te blijven maken. Webbouwers kunnen daar op in spelen door niet alleen sites op te leveren, maar ook het technische beheer als service te verkopen.

29-10-2016, 22:15 door Anoniem

Door Rinjani: Heeft Joomla nog geen automatische updater (zoals Wordpress die heeft)?

Het is allebei op PHP-stacks gebouwd maar Wordpress heeft met die automatische updater wel een hele goede zet gedaan (al in 2013). Ik had in mijn naïviteit verwacht dat Joomla maar ook bv. Drupal vergelijkbare functionaliteit ondertussen allang had toegevoegd.

https://docs.joomla.org/Where_is_the_auto_update_for_Joomla%3F

29-10-2016, 23:38 door [Account Verwijderd] - Bijgewerkt: 29-10-2016, 23:38

[Verwijderd]

30-10-2016, 07:50 door karma4

Door Rinjani: .....(knip) ...
Met 'automatisch' bedoel ik dat je net als bij Wordpress niet op een knop hoeft te drukken om de update in gang te zetten. Het moet helemaal automatisch (kunnen) gaan indien er een nieuwe update wordt uitgebracht.

En dan valt de site om wegens niet uitgeteste impact. Wie is er dan voor verantwoordelijk?
Voor thuisgebruik en wat hobby niet zo'n issue, maar je zult er maar voor je boterham van afhankelijk zijn.
Ik ken een bepaald leverancier waar men te hoop loop omdat er automatische updates gedaan worden.

30-10-2016, 09:25 door [Account Verwijderd]

[Verwijderd]

30-10-2016, 17:44 door Anoniem

Door Rinjani:

Door karma4:

En dan valt de site om wegens niet uitgeteste impact. Wie is er dan voor verantwoordelijk?

Dat zal Wordpress ongetwijfeld hebben afgedekt in de voorwaarden. Maar volgens mij vallen er weinig Wordpress sites om als gevolg van automatische updates en als het gebeurt heeft het vaak met plug-ins te maken. Ik heb drie Wordpress sites en die zijn nog nooit omgevallen door automatische Wordpress core updates.

Door karma4:Voor thuisgebruik en wat hobby niet zo'n issue, maar je zult er maar voor je boterham van afhankelijk zijn.
Ik ken een bepaald leverancier waar men te hoop loop omdat er automatische updates gedaan worden.

Wordpress werkt prima voor rechttoe rechtaan sites die in essentie gewoon wat tekst en plaatjes afbeelden, en misschien een contactformulier. Voor meer veeleisende sites, sites met gevoelige informatie (persoonsgegevens), etc. zou ik sowieso geen op PHP-stacks gebaseerde oplossingen gebruiken. Voornamelijk in aanmerking komen dan Java EE, ASP.NET oplossingen, en misschien - hoewel die, naar verluidt [1], nogal wat trager zijn - op Python gebaseerde oplossingen (bv. Django).

In z'n algemeenheid moet je de software zo (proberen) te maken dat door leverancier geteste updates simpelweg niet kunnen resulteren in het omvallen van die software.

[1] http://benchmarksgame.alioth.debian.org/u64q/python.html

Kan je ook bronnen geven waaruit blijkt dat PHP daadwerkelijk ongeschikt is voor wat jij hier schetst?

30-10-2016, 17:53 door Anoniem

Door karma4:

En dan valt de ... om wegens niet uitgeteste impact. Wie is er dan voor verantwoordelijk?
Voor thuisgebruik en wat hobby niet zo'n issue, maar je zult er maar voor je boterham van afhankelijk zijn.
Ik ken een bepaald leverancier waar men te hoop loop omdat er automatische updates gedaan worden.

Proest!
Het is geen MS product!

30-10-2016, 18:39 door Anoniem

Door Rinjani:

Door karma4:

En dan valt de site om wegens niet uitgeteste impact. Wie is er dan voor verantwoordelijk?

Gelukkig dat WP dat alleen maar met minor updates doet. Je wilt niet weten hoe belachelijk slecht deprecations aangegeven zijn bij major incrementions...

30-10-2016, 21:42 door [Account Verwijderd] - Bijgewerkt: 31-10-2016, 20:52

[Verwijderd]

31-10-2016, 10:08 door Anoniem

Volgens mij is het grootste probleem met PHP niet zozeer de taal en de libraries maar het gemiddeld lage nivo
van de vaardigheden van programmeurs die in deze taal werken. Als je het laagdrempelig maakt krijg je een boel
prutsers binnen die zich een hele piet voelen in het copy/pasten van voorbeeldcode, en het totale plaatje van een
veilige actieve webpagina niet goed snappen.
Je krijgt dan de bekende problemen met sql injectie door gebruik van de functie mysql_query enzo.

31-10-2016, 10:18 door dutchfish

Gewoon op tijd je updates draaien. En nee, daaraan veranderd een andere keuze van je webmotortje niets; of het nu gaat om zero days van .NET framework, Java of PhP.

No room for lazy admins.

31-10-2016, 14:15 door Anoniem

Nu heb ik mijn Joomla afgelopen zaterdag een upgrade gegeven.....
Hoe kan ik nu nagaan of mijn site onverhoopt toch gehacked is..........

31-10-2016, 19:43 door [Account Verwijderd] - Bijgewerkt: 31-10-2016, 19:44

[Verwijderd]

01-11-2016, 10:41 door Anoniem

Ze zijn er een beetje erg laat me.. Want er zijn nu nog zoveel websites on air die vulnerable zijn, nu nog steeds. Het probleem is dat ze erg laat zijn gekomen met dit update systeem. Krijg nu maar eens al die websites geüpdatet, onmogelijk.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer