sabato 24 luglio 2010

Siti Joomla IT attualmente compromessi con inclusione di fake motore di ricerca (agg. 24 giugno)

Sono numerosi i siti IT, sviluppati in Joomla (versione 1.5) attualmente compromessi con inclusione di fake pagine di motore di ricerca

Questo un layout presente di solito in subfolder 'components' Joomla

che analizzato con un programma di scansione dei contenuti mostra centinaia di pagine con il layout visto ora

Considerato che si tratta di siti che risiedono su differenti IP di diversi hoster IT, ma tutti sviluppati in Joomla e' molto probabile che sia utilizzata proprio una delle vulnerabilita' presenti nella nota piattaforma di sviluppo.

Anche se non ci sono prove che sia collegato a questo problema c'e' anche da dire che tutti i siti analizzati che presentano questa inclusione di fake motore di ricerca sono sensibili ad una 'Joomla TinyBrowser Remote File upload Vulnerability' cosa che tra l'altro permette sia una “Arbitrary Folder Creation” ed un “Arbitrary File Hosting'

I siti sono tutti sviluppati con versione che appare come la 1.5


con la possibilita'., tramite questa interfaccia grafica,

di uploadare, ridenominare ecc... files (anche se con alcuni limiti nei formati abilitati) in linea con il file di configurazione di tynibrowser, che di default permette una 'size' del file scaricabile sul sito comunque 'unlimited'

-----------------------------------------------------------------
File: config_tinybrowser.php
Code:
// File upload size limit (0 is unlimited)
$tinybrowser['maxsize']['image'] = 0; // Image file maximum size
$tinybrowser['maxsize']['media'] = 0; // Media file maximum size
$tinybrowser['maxsize']['file'] = 0; // Other file maximum size
$tinybrowser['prohibited'] = array('php','php3','php4','php5','phtml','asp','aspx','ascx','jsp','cfm','cfc','pl','bat','exe','dll','reg','cgi', 'sh', 'py','asa','asax','config','com','inc');
// Prohibited file extensions
-------------------------------------------------------------------------------

cosa che potrebbe, nel caso di config di default utilizzata, cssere comunque sfruttata per hostare ad es. un intero sito di phishing, ad insaputa di chi gestisce il sito colpito.

Edgar

Nessun commento: