Esconden una puerta trasera en el logo de Joomla

Escrito por Adrián Crespo
Seguridad
3

Los ciberdelincuentes deben pensar cómo introducir las amenazas en los sitios web sin que estas sean detectadas. Las argucias pueden ser impensables pero la última que se ha detectado ha sorprendido a muchos expertos. Y es que se ha detectado una puerta trasera en la imagen del logotipo de Joomla, concretamente en los datos EXIF del archivo.

Se trata de una especificación muy utilizada sobre todo en cámaras digitales, y sirve para introducir metadatos a los archivos de imagen, como por ejemplo la fecha y hora, la configuración de la cámara con la que se ha obtenido la imagen,. la localización,…

Además, este código estaba codificado en base 64, permitiendo a los hackers que al ser cargada la imagen por el módulo php correspondiente este lleve a cabo la ejecución del código oculto en este campo del archivo. Se trata de algo relativamente nuevo, ya que en ocasiones anteriores se han detectado intentos para camuflar el código malware en el interior de la imagen, alterando de alguna manera la composición de la misma. Sin embargo, en esta ocasión no se ha introducido en el interior del archivo de imagen sino en un campo adicional destinado a aportar información sobre la imagen tomada.

Sin ir más lejos, el virus Vawtrack fue uno de los primeros en camuflarse en el interior de un archivo de imagen PNG.

Muchos expertos han esperado que desde el CMS aportasen algo más de luz pero este no ha sido el caso.

Esta puerta trasera habría sido introducida aprovechando una vulnerabilidad de Joomla

Los expertos encargados de descubrir esta puerta trasera aún no saben a ciencia cierta si se trata de un caso aislada o si existen más sitios web afectados que hagan uso de este CMS. De confirmarse esto último, casi con total seguridad los ciberdelincuentes habrían utilizado una vulnerabilidad existente en el sitio web, y a continuación es donde aparecen dos posibles alternativas: que la vulnerabilidad aún no esté ni catalogada ni parcheada o bien que sí esté parcheada y muchos usuarios aún no hayan instalado la versión que resuelve el problema. Aunque no lo parezca se trata de algo bastante habitual que no solo sucede en Joomla, también en WordPress y cualquier gestor de contenidos.

Para saber el alcance de este suceso desde el CMS deben aclarar qué es lo que ha sucedido y si se trata de un caso aislado en el que queda de manifiesto una mala configuración de seguridad.

Fuente | Softpedia


Continúa leyendo
  • Isidro Baquero

    Por favor, no creemos alarma donde no la hay. El artículo que se cita habla de que, efectivamente, los hackers habían escondido el código malicioso en la imagen del logo, pero en un sitio PREVIAMENTE INFECTADO. Es decir, que no es que el logo de Joomla que viene con el paquete de instalación o cualquier logo oficial proporcionado por el proyecto venga con esa puerta trasera. Además, para que sea efectivo los hackers deben modificar un archivo PHP del core de Joomla, algo que en un sitio medianamente protegido debe ser muy complicado, y que además debe dar la cara rápidamente en cualquier auditoría que se haga.

    Creo que la parte en la que se dice que desde el proyecto no se ha dado información sobra, pues Joomla no tiene nada que decir. Como decía antes, se trata de un sitio infectado en el que los atacantes modificaron el logo y un archivo para tener su puerta trasera, no de un fallo en el core de Joomla o en las imágenes que se proporcionan desde el proyecto.

    Agradezco que al menos se haya mencionado que este tipo de problemas es algo relativamente habitual no sólo en Joomla, sino en general en los CMS (y yo añadiría que en internet). Lo importante es que el código de terceros que uno usa está respaldado por un proyecto serio que actúa bien y rápido cuando se detecta un error que depende de ellos, como ocurre con Joomla, WordPress, Drupal y en general la mayoría de proyectos de código abierto.

    Un saludo.

  • Isidro Baquero

    Bueno, veo algunos cambios lo cual es de agradecer. Aunque el artículo sigue siendo inexacto. El artículo original es este:

    https://blog.sucuri.net/2015/11/exif-php-joomla-backdoor.html

    Y en él se dice textualmente

    “It was specific to a hacked Joomla! install”

    o sea, que el error es específico de un sitio Joomla ya hackeado. Dicho de otro modo: es condición necesaria para poder “infectar” con esta imagen y la alteración del archivo application.php tener acceso al servidor para poder reemplazar los originales con estos.

    En ningún momento se menciona nada de lo que se dice aquí de que no se sabe si pudiera ser una vulnerabilidad no detectada (lo cual, por cierto, es de perogrullo, pues ningún software está exento de que exista en él una vulnerabilidad que aún no se ha detectado). Es un problema de seguridad específico de un sitio, no una vulnerabilidad de Joomla. Nadie ha notificado nada sobre esto al equipo de seguridad de Joomla porque no hay nada que notificar. Si se sospechara o directamente se supiera de una vulnerabilidad, se habría reportado (la gente de Sucuri lo ha hecho muchas veces en el pasado), dando un tiempo razonable para sacar un parche antes de desvelar los detalles del problema en público.

    Suelo leer esta publicación para temas generales de redes, pero desde luego si el rigor de este artículo es el mismo que en el resto de los que se publican me llevaré un gran chasco. Por eso les pido que por favor rectifiquen los errores que menciono, y no por cabezonería o cualquier otro motivo espurio, sino por puro rigor y seriedad.

    Un cordial saludo.

    • Te voy a “corregir” ya que como bien indicas, se trata de un sitio Joomla hackeado, de ahí que digamos que pueda ser una vulnerabilidad que no haya sido reportada o bien una que sí se haya reportado, se haya corregido y que como suele suceder, algunos usuarios no hayan instalado la última versión y esta u otra vulnerabilidad haya servido para modificar el logo y sustituirlo por otro. Todo esto está detallado en el artículo.

      En este caso sí ha sido un sitio, o al menos eso parece porque no hay más novedades al respecto, pero tampoco se sabe si las deficiencias de seguridad que posee esta pagina existen en más sitios web que utilizan este CMS.

  • Pingback: Descubren una vulnerabilidad crítica en Joomla()

Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10