Aktuelle Ausnutzung einer neuen alten Joomla Schwachstelle

• 29 November 2016
• von: Nicole Kühne
• Kategorien: Allgemein
• Tags: Joomla, Malware

Die aktuell gehäuft auftretenden Ausnutzung einer neuen/alten und seit langem unbemerkt existierenden Kompromittierung von Joomla Installationen haben wir zum Anlass genommen, unsere Serversysteme auf diese Schwachstelle hin zu prüfen.

Da die von der Kompromittierung betroffenen Datein ./cache/cache-db.php sowie ./libraries/simplepie/simplepie.lib.php auch in Joomla Installationen mit aktuellen Updates vorhanden sind und offenbar bei Joomla-Updates nicht überschrieben werden, konnte eine modifizierte Version dieser Dateien bereits, ohne erkannt zu werden, seit teilweise > 1,5 Jahren auf vielen Accounts „schlummern“.

Auf der Webseite von malware.expert (https://malware.expert/malware/cache-db-php/) finden Sie eine detailierte Beschreibung, wie Sie eine schadhaft modifizierte Dateivariante erkennen können.
Sollten Sie eine Joomla! Installation betreuen / verwenden, prüfen Sie bitte DRINGEND auf die Existenz dieser Dateien sowie auf deren Inhalte.

Den Dateien, die wir bei unserer Prüfung als modifiziert erkannt haben, haben wir die Ausführungsrechte entzogen um eine weitere Ausnutzung zu vermeiden.

Dies bedeutet ausdrücklich nicht, dass eine weiterführende Kompromittierung dadurch ausgeschlossen ist, da nicht ermittelt werden kann ob die Datei in der Zeit ihrer Erstellung bis zum Zeitpunkt der Deaktivierung bereits verwende wurde um weiteren Schadcode einzubringen.

Bitte prüfen Sie im Fall einer schadhaft veränderten Datei den ges. Webaccount, da i.d.R. noch weitere und zum Teil sehr schadhafte Scripts durch die Angreifer hinterlegt wurden.