Tutti i proprietari di siti web realizzati con Joomla! devono sapere che una falla informatica piuttosto subdola si sta diffondendo a macchia d’olio.
La notizia gira da qualche giorno all’interno delle community tematiche: parecchi siti in Joomla! (di cui molti con estensione .it, inclusi in certi casi siti istituzionali), soprattutto se non aggiornati da molto tempo, sono a rischio di introduzione di script, immagini e file arbitrari.
E’ passata inosservata, insieme a quella relativa al malware per WordPress VisitorTracker, in quanto uscita nel mese di agosto.
Gli effetti però si sono visti in seguito e in molti casi, le pagine inserite illecitamente sono state addirittura indicizzate sui motori di ricerca.
Questo sicuramente mette a rischio la sicurezza del sito web ma soprattutto la sua credibilità ed affidabilità.
La causa del problema sembra risiedere in un uso scorretto della celebre estensione jDownloads, utilizzata in molti siti web Joomla!, utile per fornire funzionalità di download di file da parte degli utenti e di cui un qualsiasi utente non autenticato potrebbe approfittare.
Le possibilità sono due:
- impostazione errata;
- componente fallato.
Configurare correttamente jDownloads
Tutti i siti web che utilizzano l’accoppiata Joomla! + jDownloads potrebbero quindi essere a rischio: il sito può essere soggetto alla possibilità di caricare file arbitrari dall’esterno, sfruttando il modulo di default, senza contare che, anche se aggiornato all’ultima versione, potrebbe non essere configurato correttamente.
È infatti opportuno che solo gli utenti autorizzati del sito possano effettuare caricamenti di file, impedendolo in questo modo agli utenti anonimi.
Purtroppo ci sono numerose versioni di jDownloads che sono state lasciate, un po’ superficialmente, con la possibilità di caricare file da utente anonimo; ovviamente dovrà essere il webmaster a controllare queste impostazioni scrupolosamente.
Specifiche informazioni su come impostare correttamente le politiche di upload si trovano a questo indirizzo.
Verificare se il sito è infetto
L’attacco in questo caso è di natura subdola e non è banale accorgersene, visto che non si tratta di un defacement in home page: basta usare un motore di ricerca per accorgersi del problema.
Molti siti infetti sono rintracciabili su Google cercando la stringa “images/jdownloads/screenshots”.
Di norma essi rientrano in uno di questi tre casi:
- qualcuno ha già caricato un file JS, JPG o HTML arbitrario nella cartella degli upload del sito (nel titolo compare la scritta “Hacked”, o qualcosa del genere);
- la pagina di upload è pubblica per errore, per cui chiunque potrebbe caricare file;
- si sta usando una versione fallata di jDownloads.
Per proteggersi è opportuno aggiornare Joomla e jDownloads; mentre lo facciamo inoltre, si può valutare la possibilità di attivare via server l’impostazione per non eseguire script PHP (per evitare ulteriori potenziali danni) mediante questa direttiva nel file .htaccess:
<FilesMatch “\.(php|php\.)$”>
Order Allow,Deny
Deny from all
</FilesMatch>
Ovviamente questa impostazione va lasciata solo in via temporanea, in quanto potrebbe non essere compatibile con il funzionamento ordinario del sito.
Aggiornare jDownloads
Nella terza ipotesi si tratta di una falla vera e propria documentata sul sito ufficiale, che suggerisce di utilizzare versioni di jDownloads dalla 1.9.1.6 in poi per Joomla! versione 2.5 e dalla 1.9.2.11 per Joomla! versione 3.
Aggiornando il componente all’ultima versione si risolverà il problema relativo all’upload che anche in questo caso, permette ad un attaccante di caricare contenuti arbitrari.
Ricordiamo infine, che le versioni di Joomla! così come avviene per altri CMS tendono ad “invecchiare” rapidamente e man mano che vengono scoperti nuovi bug sono fornite versioni più recenti e più sicure.
Lasciare un sito Joomla! con qualche componente, addon o plugin vecchio equivale a lasciare falle di sicurezza spalancate ed ecco ribadita ancora una volta la necessità di aggiornare periodicamente il proprio sito o utilizzare sistemi che riescano in qualche modo a proteggere i siti web dal malware.
Lascia un commento