[Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5

[..-. ..-]

Quando piove sul bagnato ....
http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2008-01/msg00087.html

...per di più stanno arrivando le prime segnalazioni di attacchi riusciti in data 5 gennaio 2008 (ed era logico attenderlo)
http://forum.joomla.org/index.php/topic,251280.0.html

[muvadi]

io non ho capito che tipo di danno possono fare...

[..-. ..-]

Accedere, (mentre sei connesso come super amministratore sia che tu sia in front-end che in backend), e creare, senza il tuo consenso è ovvio, un account super-amministratore e chissà......
magari ti degradano a publisher (nella migliore delle ipotesi) oppure ti fanno "icchè vogliono nel sito" dato che avranno accesso a tutte le funzioni amministrative del sito e quindi alle password del database, al media manager per caricare ciò che desiderano .... insomma basta come lista o proseguo? 

Per farti un esempio ti posso dire che Phil Taylor per far capire al capo progetto i rischi di questa falla, dato che alll'inizio non lo ca....no di striscio, si è creato un account super amministratore .......... dove?  Nel sito del personale di uno dei membri del Team di Joomla!

[muvadi]

no...no...basta così mi sento già male....

[..-. ..-]

Comunque, anche se grave sta cosa si possono dormire sonni relativamente tranquilli seguendo alcune semplici regolette.
Evitare di lasciare la sessione amministratore aperta, ovvero se state amministrando qualcosa nel sito non navigate in altri siti e appena terminato scollegatevi.
Se possibile eliminate "la funzione ricordami" nel login, oppure usatela con la dovuta cautela, abbassate anche il tempo di sessione loggin, (lo so è una noia quando si devono scrivere articoli lunghi e ci si scontra con la disconnessione automatica) ma prendete l'abitudine di scrivere gli articoli offline e poi copiate/incollate il testo online.

Per tirare sul un po' il morale (lo so è sarcartico ma in questi momenti ci vuole), pensate che questo non è un problema che al momento attanaglia solo Joomla! ma anche altri applicativi per cui ... stringiamoci tutti forte e facciamoci coraggio 

[double_d]

Quando piove sul bagnato ....
http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2008-01/msg00087.html

...per di più stanno arrivando le prime segnalazioni di attacchi riusciti in data 5 gennaio 2008 (ed era logico attenderlo)
http://forum.joomla.org/index.php/topic,251280.0.html

Scusa vamba, quel link che hai postato no...

c'è il codice dell'exploit. ok,

è un codice banalissimo e stupidissimo, un form che fa una richiesta a un determinato sito joomla al com_user per creare un utente superamministratore, e quindi se se l'amministratore è loggato nell'amministrazione e accede alla pagina con exploit automaticamente si crea un utente con i permessi di super admin con user e pass usati nello script.

Ok, la mia domanda è: ma il problema non è mica solo quello?

Cioè, quello non è mica l'unico exploit?

Perchè, spiego:

l'ho provato su un mio sito;
ha funzionato se non alla prima, alla seconda botta (avevo sbagliato a inserire qualche impostazione).

Quindi ho aperto i file del componente com_user del mio joomla e gli ho fatto una stupida modifica.

Ho riprovato l'exploit, e non ha funzionato, cioè l'ho bloccato.

Ma a me è sembrata una cosa banale!

Ci devono essere sicuramente altri inghippi...

[Daniele Pinna]

Dal Link postato da Vamba ho letto queste righe:

Disclosure timeline
===================
Oct 18 2007 - Vulnerability found.
Oct 18 2007 - Vulnerability reported to vendor.
Oct 18 2007 - Answer from vendor.
Jan 08 2008 - Advisory released.

Cioè dal 18 Ottobre hanno avvisato solo l'8 di Gennaio?
E ancora non c'è una patch...

Capisco che all'inizio non è stata presa in considerazione come una reale minaccia alla sicurezza, però mi sembrano tempi troppo lunghi...

[..-. ..-]

Concordo, quoto e applaudo.... Bingo!  (poi m'inchino pure)
non per sfottere mi raccomando ma mi vien proprio dal cuore ... finalmente un post che mi riempie di gioia.

E' PROPRIO PER QUESTO CHE LA COMUNITA' E IMBUFALITA (e io con loro)
Come diamine si fa a pensare di patchare prima una versione non ancora stabile con decine di migliaia di siti a scapito di milioni di siti che usano ancora la versione 1.0.x!

Tu in poco tempo il tuo personale tappabuco l'hai trovato, allora diciamo.........
con milioni di utenti che da anni utilizzano la serie 1.0.x
(e le poche migliaia che seguono la serire 1.5) perchè il team non ha avvisato subito di questo problema?

[Victor]

quindi se uno non si logga mai da superadmin non ha problemi?

[taolo]

quindi se uno non si logga mai da superadmin non ha problemi?

domanda ultrapertinente 

[wosky]

Allora mi registro un Administrator ed entro solo cosi!

[..-. ..-]

quindi se uno non si logga mai da superadmin non ha problemi?

Ottima domanda ... rispondo per quel che ne so io ..... Boh!!!
Dato che adesso son tutti focalizzati sul problema non si sa con certezza se tale è per qualsiasi livello di accesso amministrativo.
Personalmente credo che non dovrebbe intaccare il livello acceso manager ed inferiori,(in quanto non hanno permessi per la creazione di utenti) ma è anche vero che però l'amministratoire a sua volta non può creare un super-admin.
Quindi se ne deduce che dato che solo un super-admin può creare un altro super-admin.... essere collegati come administrator
dovrebbe salvarci da sto problema. (sempre che poi uno non si crei un account administrator ... che pianta il sito lo stessso in quanto ha accesso, ok a meno funzioni amministrative però ha sempre i suoi bei possedimenti pure lui )

[surfbit]

Da questa considerazione si potrebbe dire che chi non ha bisogno di fare cose da amministratore, può crearsi un account manager. In effetti il più delle volte io stesso mi logo sempre come admin nei miei siti, quando faccio operazioni semplici di manager. Sarebbe buona norma utilizzare account in base alle esigenze. Del resto nei sistemi come linux non ci si loga mai come admin. Questo preserva eventuali danni. Chiaramente il concetto tra sistema operativo e cms è un pò diverso e in particolare i due temi, però forse sarebbe una buona usanza non accedere sempre come super admin in joomla quando non nserve.

[Marco Carosio]

Ciao a tutti,

Magari sapete già tutti, ma ripetere non nuoce.
Ho sentito di un trucchetto che può risolvere il problema del CSRF almeno in attesa di un release 1.0.x o 1.5 stabile.

http://blog.phil-taylor.com/2008/01/05/using-prisim-to-administrate-joomla-safer/

In ogni caso mi sembra un buon accorgimento.

[wosky]

Da questa considerazione si potrebbe dire che chi non ha bisogno di fare cose da amministratore, può crearsi un account manager. In effetti il più delle volte io stesso mi logo sempre come admin nei miei siti, quando faccio operazioni semplici di manager. Sarebbe buona norma utilizzare account in base alle esigenze. Del resto nei sistemi come linux non ci si loga mai come admin. Questo preserva eventuali danni. Chiaramente il concetto tra sistema operativo e cms è un pò diverso e in particolare i due temi, però forse sarebbe una buona usanza non accedere sempre come super admin in joomla quando non nserve.

Quoto

[double_d]

quindi se uno non si logga mai da superadmin non ha problemi?

No, ma non mi sembra ottima come soluzione.


Comunque io ho risolto con poche righe di codice e ho bloccato quell'exploit lì (quello del link). Ma credo che ce ne siano molti altri possibili, anche se forse quello è il più pericoloso e il più stupido da mettere in atto (provare per credere).

[..-. ..-]

Forse stiamo facendo un po' di confusione, ma è logico quando quantità di notizie arrivano contemporaneamente.

@double_d quello del link non è in riferimento al al problema CFSR, e un'altra segnalazione che parla di un'altro problema di exploit.

Al momento, pare, che esistano vari tipi di segnalazioni effettuati nel trimestre ott-nov-dic 2008 (ricordiamoci che l'ultimo fix per la serie 1.0.x risale ad agosto 2007).

Diciamo che questi due sono quelli che preoccupano di più al momento, e metre quello a cui fa riferimento double_d è ristretto pare a joomla (e mambo) il problema del CFSR pare molto più ampio e che abbracci più applicativi.

[Victor]

certo che non e' la soluzione migliore, ma i siti fatti e finiti che non hanno bisogno di gestione sono piu' sicuri dal questo punto di vista, ovvio che chi ha dei siti che devono essere costantemente aggiornati ha dei problemi.

speriamo che risolvano in fretta, adesso l'unica cosa e' stare attenti e fare backup ogni giorno

saluti

[zio2nu]

Salve, dopo aver letto l'articolo in homepage http://www.joomla.it/index.php?option=com_content&task=view&id=569&Itemid=160, volevo chiedervi se si protegge con htaccess la cartella administrator il bug "CSRF" funziona lo stesso o no?

Cioè se riescono a carpirmi per mezzo del bug i dati per l'accesso al lato amministrativo, poi visto che la cartella è protetta anche con htaccess, riesco ad accedervi?

[zio2nu]

Mi rispondo da solo purtroppo come leggo da questo post: http://forum.joomla.org/index.php/topic,248109.msg1142207.html#msg1142207, il problema resta.

Hi,

If the admin part is .htaccess protected is it going to stop the account creation from the hacker?


No - cause if YOU are logged into your admin console then YOU have already supplied your htaccess credentials and the CSRF Vulnerability will use those credentials when accessing your site.  htaccess is not the answer.