El Proyecto Joomla ha lanzado la versión 3.6.5 de Joomla CMS que corrige tres errores de seguridad, uno de los cuales puede permitir que los atacantes tomen el management de sitios vulnerables.
Si eso no fuera suficiente, esta vulnerabilidad, identificada como CVE-2016-9838, afecta a todas las versiones de Joomla lanzadas en los últimos cinco años.
Específicamente, CVE-2016-9838 afecta a todos los sitios que ejecutan Joomla 1.6.0 y hasta 3.6.4. Actualizar a Joomla 3.6.5 es imprescindible en estas condiciones, ya que los site owners pueden encontrar sus sitios como parte de spam de search engine marketing o redes de bots DDoS.
CVE-2016-9838 permite a los atacantes cambiar nombres de usuario y contraseñas
El proyecto Joomla clasifica este problema de seguridad como de «alta gravedad» y lo describe como un problema con la sesión en un evento de falla de validación de formulario.
Los desarrolladores de Joomla dicen que un atacante puede aprovechar la falta de filtrado de datos para descargar y ejecutar código malicioso que puede modificar los detalles de la cuenta existente.
Los atacantes pueden cambiar los nombres de usuario, restablecer las contraseñas de las cuentas y cambiar las asignaciones de grupos de usuarios. Un codificador experto puede usar esta falla para crear su propia cuenta de administrador en el sitio, con su propia contraseña deseada.
Shell add vuln, seguida de una vulnerabilidad que permite cambiar la contraseña de otras cuentas. Actualizar ahora. #Joomla https://t.co/gbNkVzbnd4
— Daniel Cid (@danielcid) 14 de diciembre de 2016
Joomla 3.6.5, lanzado ayer, también soluciona otros problemas de seguridad, una vulnerabilidad de descarga de shell y un error de divulgación de información, pero ambos están marcados como de «baja prioridad».
Joomla 3.6.5, disponible para descargar aquí, también fortalece el código fuente de CMS con funciones de seguridad adicionales.
Análisis masivo a escala de Web a seguir
Los usuarios deben descargar lo antes posible. A finales de octubre, tras el lanzamiento de la versión 3.6.4 del proyecto Joomla, los atacantes ya estaban explorando la net en busca de sitios net vulnerables.
En ese momento, Daniel Cid, Fundador y CTO de Sucuri, dijo que después de menos de una semana, «cualquier sitio de Joomla! que no haya sido actualizado probablemente ya esté comprometido».
Las fallas descubiertas a fines de octubre y reparadas en la versión 3.6.4 también permitieron a los atacantes registrar cuentas y ascender al grupo de usuarios administradores, comparable a las fallas reparadas en la versión 3.6.5.
Intentos de explotación similares tuvieron lugar el año pasado, en diciembre de 2015, cuando los atacantes lanzaron más de 16.600 ataques por día contra un Joomla de día cero recientemente parcheado.
Es muy possible que los atacantes utilicen CVE-2016-9838 como arma e intenten secuestrar tantos sitios como sea posible antes de que los usuarios tengan la oportunidad de actualizarlos.
