Joomla-Erweiterung perForms akut gefährdet
Ein Botnetz-Betreiber nutzt derzeit offensichtlich eine noch unbekannte Schwachstelle in der Joomla-Erweiterung perForms aus, um auf den Joomla-Servern dann mit der verwundbaren Erweiterung einen sogenannten IRC-Bot zu installieren.
Den infizierten Rechner erkennt man an "httpdse", einem laufenden Prozess. Ferner an einer ausgehenden IRC-Verbindung.
In der PHP-Datei namens "components/com_perform/perform.php" befindet sich der Programmierfehler. Diese Datei dient dazu externe Dateien über den globalen Parameter $mosConfig_absolute_path einzubinden, ohne jedoch zuvor sicher zu stellen, dass er eben nicht manipuliert wurde. Läuft nun der Server mit "register_globals=on", so könnte der mögliche Angreifer nun den PHP-Schadcode nachführen.
Das gefährliche Botnetz lauert in der Suchmaschine aller Suchmaschine, nämlich Google. Hier wird Seite für Seite nach Opfern abgegrast.
Glaubt man den Worten von Nepenthes-Entwickler Markus Kötter, so gibt es derzeit schon etwa 100 Server, die kompromittiert wurden. Mit einer schnell ansteigenden Zahl ist jedoch zu rechnen.
Die Erweiterung "Galleria" zeigte erst vor kurzem eine ganz ähnlich aufgebaute Schwachstelle, evtl. ist diese nun auch noch in anderen Modulen auffindbar.
Die Joomla-Entwickler waren nicht überrascht, ihnen war die Schwachstellen-Problematik in Sachen Erweiterungen bereits bekannt. Sie empfehlen nun natürlich all den Joomla-Betreibern, diese PHP-Dateien aller Erweiterungen zu überprüfen.
Diese müssten zu Beginn einer Zeile defined( '_VALID_MOS' ) or die( 'Direct Access not allowed.' );
aufweisen, notfalls muss man dies zügig nachrüsten.
Die Abfrage schützt aber diese Skripte vor einem direktem Aufruf, dies ist ja für die meisten Exploits erforderlich. Ratsam erscheint auch, den PHP-Webserver mit "register_globals=off" zu betreiben. Diese nicht unwichtige Einstellung in der php.ini schützt vor dem Gros der bekannten und unbekannten Schwachstellen in den PHP-Skripten.
heise-Meldung