PIRATERÍA MASIVA EN LOS SITIOS DE JOOMLA

Los expertos de Sucuri observaron un aumento en el número de ataques en menos de 24 horas después de que Joomla parcheada dos fallos críticos.

El 25 de octubre, Joomla lanzó la versión 3.6.4 para corregir dos vulnerabilidades de suma gravedad, CVE-2016-8870, CVE-2016-8869.

El primer fallo, conocido como CVE-2016-8870, podría ser explotada por atacantes para crear cuentas de usuario, incluso si registro de la cuenta está desactivada, mientras que el segundo fallo, seguido como CVE-2016-8869, puede ser explotada por usuarios que se registren en una página web, pero con privilegios elevados.

Una combinación de estos defectos puede ser explotado para subir una puerta trasera y obtener el control completo de sitios web Joomla vulnerables.

Cada vez que un defecto se da a conocer públicamente es una carrera entre los administradores de sitios web y los piratas informáticos que escanean la web para las versiones vulnerables de Joomla.

Es bastante fácil de localizar versiones vulnerables expuestos en línea, por esta razón, los expertos de la firma de seguridad Sucuri monitorea los intentos de ataques de la versión vulnerable de Joomla en la red.

Los datos recogidos por Sucuri son elocuentes, el número de ataques aumentó drásticamente poco después de que los parches fueron puestos en libertad por Joomla. Los expertos observaron varios ataques lanzados dentro de las 24 horas frente a algunos de los sitios web más populares en Joomla.

Los investigadores descubrieron una primera campaña masiva piratería se originó a partir de tres direcciones IP en Rumania, los piratas informáticos intentaron crear una cuenta con el nombre de usuario "db_cfg" y la contraseña "fsugmze3" en miles de sitios Joomla. Debajo de los tres IP address utilizados por los atacantes: 82.76.195.141, 82.77.15.204, 81.196.107.174

Obviamente, el número de ataques aumentó de manera significativa después de que los expertos empezaron a compartir hazañas.

"Después de estas hazañas iniciales, varios investigadores y profesionales de la seguridad comenzaron a compartir diferentes hazañas de este ataque. Algunos de ellos incluso están automatizando la carga de puertas traseras y el uso de algunas técnicas únicas para eludir el cargador de medios (usando. PHT archivos). " Segun Sucuriti.

"Eso llevó a un aumento masivo de direcciones IP que intentan aprovechar esta vulnerabilidad, el uso de diferentes patrones y técnicas."

El 28 de octubre, el número de infecciones alcanzó su punto máximo 27.751, por supuesto, la cifra es probable que sea mayor.

Es importante aplicar los cambios a los sitios web Joomla para asegurarlos, los administradores instan a revisar sus registros de actividad de las direcciones IP compartidas por los expertos de Sucuri. Tenga cuidado de la creación de cuentas de administrador sospechosas.


Fecha actualización el 2016-10-31. Fecha publicación el . Categoría: Seguridad. Autor: Mapa del sitio
Pirateria sitios de Joomla