حملات ساده در کمین وب‌گاه‌های مبتنی بر نسخه‌های منسوخ جوملا

اگر وب‌گاه شما بر مبنای سامانه‌ی مدیریت محتوای جوملا طراحی شده و شرایط به‌‌گونه‌ای است که طی دو هفته‌ی اخیر به‌روزرسانی‌های نرم‌افزاری ارائه‌شده برای این نرم‌افزار را اِعمال نکرده‌اید، بهتر است همین حالا چند دقیقه‌ای را صرف این کار کنید.

بد نیست بدانید که یک سوءاستفاده‌ی پیش‌پاافتاده به نفوذگران اجازه می‌دهد محتوای مخرب خود را به وب‌گاه شما تزریق کرده و به این ترتیب آن را به یک تله‌ی فیشینگ۱ یا بدافزار برای بازدیدکنندگان تبدیل نمایند.

وصله‌ای که در تاریخ ۳۱ جولای ۲۰۱۳ منتشر شده به ۲.۵.۱۳ و نسخه‌های پیش از ۲.۵.x، همچنین ۳.۱.۴ و نسخه‌های پیش از ۳.x اختصاص دارد. جوملا کشف خطاهای موجود را به شرکت امنیت وب Versafe نسبت داده، شرکتی که مدعی است در حال حاضر آسیب‌پذیری‌های این سامانه‌ی مدیریت محتوا در معرض خطر سوءاستفاده‌ قرار دارند. آسیب‌پذیری‌ حائز اهمیتی در نسخه‌های ۲.۵.۱۴ و ۲.۵.۱۴ اصلاح شده که به کاربرانی که دارای صلاحیت لازم نبودند اجازه می‌داده پرونده‌ی PHP. دلخواه خود را تنها با اضافه کردن «.» (وقت۲) به انتهای نام پرونده‌ی PHP، بارگذاری نمایند.

در نسخه‌های ۲.۵.x و ۳.x جوملا نیز هر کاربری که دارای دست‌رسی به مدیریت رسانه باشد می‌تواند به سادگی هرچه تمام‌تر به بارگذاری و اجرای کدهای مورد نظر خود بپردازد، این امر نیز با افزودن زمان به انتهای نام پرونده‌ای که قصد اجرای آن را دارند امکان‌پذیر می‌شود. در مورد وب‌گاه‌هایی که با نسخه‌های پشتیبانی‌نشده‌ی جوملا طراحی شده‌اند (۱.۵.x؛ یک جست‌وجوی ساده در گوگل نشان می‌دهد که هم‌اکنون ده‌ها هزار وب‌گاه‌ این‌چنینی در حالت برخط وجود دارند)، مهاجمان برای صورت دادن نفوذ حتی نیاز به یک حساب‌ کاربری در کارگزار جوملا هم ندارند.

بنا به اظهارات مدیر اجرایی و یکی از بنیان‌گذاران Versafe، ایال گرونر۳، از میان هزاران حمله‌ی فیشینگ و بدافزاری که در نیمه‌ی اول سال ۲۰۱۳ مشتریان مالی ۳۰+ EMEA این شرکت را هدف قرار داد‌ه‌اند، ٪۵۷ در وب‌گاه‌های مبتنی بر جوملا میزبانی می‌شده‌اند.

گرونر گفت: «در ماه‌های اخیر شاهد موجی از سوءاستفاده‌‌های حوزه‌ی رایانه‌ بوده‌ایم که مجرمان سایبری برای پیاده‌سازی آن‌ها از وب‌گاه‌ها برای میزبانی حملات فیشینگ و drive-by۴ کمک گرفته‌اند.»

وی خاطرنشان کرد که شرکت Versafe توانسته بیش از ۱۰۰ وب‌گاه‌ را شناسایی کند که با شیوه‌های این‌چنینی مورد حمله قرار گرفته‌اند. تمامی آن وب‌گاه‌ها میزبانی مؤلفه‌های مخرب جاوااسکریپتی را بر عهده داشته‌اند که با استفاده از تروجان‌های بانکی به خودکارسازی هرچه بیشتر کلاه‌برداری‌های برخط مربوط به حساب‌های کاربری اشتغال داشته‌اند.

گرونر افزود که شرکت او در اوایل ماه ژوئن جوملا را از امکان چنین بهره‌برداری‌هایی آگاه کرده است.

چنین حملات ساده‌ای که سامانه‌های مدیریت محتوای محبوب را هدف قرار می‌دهند می‌توانند به سلاحی قدرت‌مند در دست مجرمان سایبری تبدیل شوند و در راستای توسعه‌ی بات‌نت‌های مبتنی بر وب‌گاه مورد استفاده قرار بگیرند. در ابتدای این ماه Arbor Networks هشدار داد که در حال پی‌گیری بات‌نتی ملقب به Fort Disco است که بر اساس وب‌گاه‌های نقض‌شده‌ی وردپرس و جوملا طراحی شده است. همچنین در اوایل این سال میلادی شرکت امنیت وب Incapsula بیان داشت که بیش از ۹۰،۰۰۰ وب‌گاه‌ طراحی‌شده توسط وردپرس را که با کدهای مخرب به یک در پشتی۵ مبدل شده‌اند، مورد شناسایی و پی‌گرد قرار داده است.