Ayer , en unos de unos clientes que nosotros vigilamos, detectamos una intrusion un sitio que se habia realizado dias antes, el cliente tenia en sus sitios joomla (varios sitios), pero nosotros dijimos si tenemos todo actualizado, los componentes todos bien, por donde se pudo realizar la intrusion??
como lograron defacer el sitio. y bueno yo empeze con mis tareas de investigacion.
detras La pista del “Hacker”
11:12 pm empeze mis tarea de busqueda, lo primero que hise fue revisar los ultimos archivos modificados.. y sus fechas.
me dio un resultado que el “hacker” habia ingresado hace 15 dias antes y el defacement del sitio lo realizo el dia anterior. logre localizar su webshell, Una tipica shell 404 encryptada en base 64 localizada en la carpeta de imagenes de Joomla.
Bueno dije, como lograron subir esa shell sin haber cambiado la pass de admin,( symlink ) sin acceder al panel ( los logs de acceso no marcaba ningun acceso extraño ) enseguida , estaba pensando en un 0day!
Claro, y tenia total razon, ya era las 12:27 pm cuando llege a esa conclusion. ps no habia de otra. pero si el Joomla no tenia ningun componente desactualizado y decidi hacerle un scaneo con Joomscan ( Una Toolz de Backbox )
Y bueno el escaneo finalizo con 2 dos posibles vulneabilidades pero intente realizarlos para su explotacion y no funciono.
entonce para llegar asunto de 0day de Joomla , tocara indagar en la web, me tomo aproximadamente 1 hora y 15 minutos localizar un exploit en Joomla, actualmente no estaba registrado en ninguna base de datos de exploit. puesto que era de un autor independiente.
El exploit de Joomla no lo publicare por motivos de seguridad de la misma, pero el exploit es lo suficientemente grave, encontrado en un modulo de mismo Joomla. la cual permite subir un shell a sitio. el exploit fue escrito segun logre ver este año (2013).
Y Al probar el exploit con el sitio vulnerado. funciono! al 100%
Entonces En Resumen:
El Hacker uso el reciente exploit que de su misma autoria decidio publicar en la red, aunque teniendo los modulos y el mismo joomla actualizado era vulnerable, ademas que el exploit aun no se encuentra en los actuales scan de seguridad de Joomla. nuestra recomendacion es migrar de joomla a wp. por seguridad. o en su defecto esperar una proxima actualizacion.
Acerca de Mi Dylan Irzi
Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com
