Gravedad: ALTA
Fecha de publicación: Diciembre 15, 2015
Fecha de modificación: Diciembre 15, 2015
Última revisión: Revisión A.
Fuente: CSIRT Panamá
Sistemas afectados
- Joomla 1.5 a la 3.4.5
I. Descripción
Se ha anunciado una vulnerabilidad crítica en Joomla! que permite a atacantes remotos la ejecución de código arbitrario. Se trata de una inyección de objetos basada en el controlador de bases de datos de MySQL, que no verifica el contenido enviado por los clientes en el “user-agent” y permite incluir código PHP que será ejecutado por el servidor. Esta vulnerabilidad afecta a las versiones de Joomla desde la 1.5 hasta la versión 3.4.5. El identificador CVE asignado para esta vulnerabilidad es el CVE-2015-8562.
II. Impacto
La explotación de esta vulnerabilidad puede permitir a un atacante remoto la ejecución de código arbitrario.
Si usted es un usuario de Joomla, puede revisar sus registros de inmediato. Busque peticiones de las siguientes ips: 146.0.72.83 o 74.3.170.33 o 194.28.174.106, ya que fueron las primeras direcciones IP en iniciar la explotación. Se recomienda buscar los registros de “JDatabaseDriverMysqli” o “O:” en las bitácoras de acceso (access log) del sitio web.
III. Mitigación
Actualizar el software
Para aquellos en la rama 3.x, actualizar inmediatamente a 3.4.6. Habrá arreglos no oficiales para Joomla! 1.5.x y 2.5.x proporcionado pronto. CSIRT Panamá recomienda a los administradores de páginas web basadas en Joomla, revisar el boletín de seguridad publicado y actualizar a la versión más reciente.
IV. Información adicional
- https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html
- https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html
- http://blog.segu-info.com.ar/2015/12/vulnerabilidad-y-exploit-0-day-en.html