RNP > Serviços > Segurança em redes > Alertas do CAIS

Vulnerabilidade no Joomla sendo explorada

Joomla "token" Password Change Vulnerability (SA31457)

[CAIS, 15.08.2008-16:31, revisão 01]

O CAIS está repassando o alerta da Secunia, intitulado "SA31457 - Joomla "token" Password Change Vulnerability", que trata de uma vulnerabilidade crítica identificada no gerenciador de conteúdo web Joomla.

Quando é solicitado o "reset" da senha de um usuário do sistema o Joomla! envia um "token" por e-mail, um recurso é util no caso de perda da senha. A falha em questão está exatamente neste mecanismo, ao permitir que um usuário não autenticado ou autorizado realize "reset" da senha do primeiro usuário habilitado no sistema e depois assuma controle deste usuário. O que agrava esta vulnerabilidade é justamente o fato do primeiro usuário ser normalmente o administrador, que tem controle total sobre o sistema.

A vulnerabilidade permite que um usuário não autenticado tenha acesso remoto à implantação de Joomla!, podendo ler ou alterar conteúdo. Em 12 de agosto foi tornado público um código malicioso (exploit) que tem sido amplamente utilizado, especialmente em ataques de troca de página (defacement), o que aumenta a criticidade da aplicação destas correções.

Joomla! é um dos sistemas CMS (Content Management System) com maior base de usuários, o que faz dele um alvo preferencial de ataques. Por este motivo recomendamos que a atualização seja instalada o mais rápido possível.
 
 
Sistemas Afetados

• Joomla 1.5.5 e versões 1.5.x anteriores

• Download Joomla! 1.5.x

• SA31457 - Joomla "token" Password Change Vulnerability
• SANS ISC Handler's Diary 2008-08-15: Joomla user password reset vulnerability being actively exploited
• [20080801] - Core - Password Remind Functionality
• US-CERT Current Activity - Joomla! Password Reset Vulnerability
• Joomla suffers already-exploited critical vulnerability

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais