JCE Joomla extensie aanvallen op oud lek

Te laat of helemaal niet updaten vaak de oorzaak

JCE Joomla extensie aanvallen op oud lek

De onderzoekers van SpiderLabs  hebben een waarschuwing op hun blog geplaatst over verhoogde activiteit om het oude JCE (Joomla Content Editor) beveiligingslek te misbruiken.

JCE is een erg populair component wat op bijna elke Joomla website ingeschakeld kan worden. JCE heeft een paar serieuze kwetsbaarheden gehad in het verleden (rond 2011 en 2012), en helaas bestaan er op dit moment nog duizenden ongepatchte sites die dit lek nog steeds niet gedicht hebben.

De volledige analyse van SpiderLabs over JCE Joomla Extension Attacks kunt u hier lezen.

En een oude test op UnmaskParasites over de verhoogde hoeveelheid scans werden een paar maanden geleden zichtbaar Invasie van JCE Bots

Als je een Joomla site hebt die de laatste tijd niet ge update is doe dit dan zo spoedig mogelijk. Als je nog steeds op Joomla 1.5.x draait dan moet dat eigenlijk direct gebeuren. Er zijn exploits voor die eenvoudig te vinden zijn en vaak gebruikt worden; als je geluk hebt en je Joomla 1.5.x website is nog niet gehackt dan zal dat wellicht snel gebeuren.

Kwetsbaarheid die al een tijd actief is

In een grafiek is te zien hoeveel pogingen de laatste tijd zijn gedaan om via dit oude lek van JCE in Joomla websites binnen te komen.

jce-exploit

Soorten aanvallen

De aanvallen beginnen met het uploaden van een gif-bestand, gevolgd door het hernoemen van het gif bestand naar een php extensie:

? 5.249.152.61 - POST / index.php option = com_jce & task = plugin & plugin = imgmanager & file = imgman
ager & method = form & cid =
HTTP/1.1 "403 0" - "" BOT/0.1 (BOT voor JCE) "
form-data; name = \ x22upload -dir \ x22 \ X0A \ X0A / \ X0A ----------------------------- 41184676334 \ x0AContent-Disposition: form-data; naam
= \ x22Filedata \ x22; filename = \ x22 \ x22 \ x0AContent-Type: application / octet-stream \ X0A \ X0A \ X0A --------------------- --------
41184676334 \ x0AContent-Disposition: form-data;
form-data; name = \ x22Filedata \ x22; filename = \ x22gadolo.gif

? 5.249.152.61 - POST / index.php option = com_jce & task = plugin & plugin = imgmanager & file = imgman
ager & version = 1576 & cid = 20
HTTP/1.1 "403 4143" - " "BOT/0.1 (BOT voor JCE)"
json = {\ x22fn \ x22: \ x22folderRename \ x22, \ x22args \ x22: [\ x22/gadolo.gif \ x22, \ x22gadolo.php \ x22]} "" COOKIE: - "


Zodra het bestand eindigt op . php, kan het op afstand worden uitgevoerd en geeft het de aanvallers volledige toegang tot de site.
In het bovenstaande voorbeeld is te zien dat geprobeerd is om de nep-afbeelding met de naam gadolo.gif uploaden, ze doopten het om tot gadolo.php, en daarna is geprobeerd om php bestand uit te voeren.

Een ander interessant punt is dat alle exploits lijken te worden uitgevoerd vanuit het voorbeeld in de exploits database en ze gebruiken merendeels de user agent "BOT voor JCE". Als de website op de juiste manier onderhouden is dan hoef je niet te vrezen, de website is dan beschermd beschermd tegen dit soort misbruik.

Is uw website gehackt? Laat Joomlapartner dan de website schoon maken.

U kunt ook een Servicecontract voor uw Joomla website afsluiten zodat u verzekerd bent van een up to date website, neem voor meer informatie eens contact met ons op!