Joomla-Erweiterung perForms akut gefährdet

Ein Botnetz-Betreiber macht sich eine bislang unbekannte Schwachstelle in dem Modul fĂĽr das Content-Management-System zunutze, um auf verwundbaren Servern einen IRC-Bot zu installieren.

In Pocket speichern vorlesen Druckansicht 81 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christiane RĂĽtten

Ein Botnetz-Betreiber nutzt derzeit eine bislang unbekannte Schwachstelle in der Joomla-Erweiterung perForms aus, um auf Joomla-Servern mit der verwundbaren Erweiterung einen IRC-Bot zu installieren. Infizierte Rechner lassen sich an einem laufenden Prozess namens httpdse und einer ausgehenden IRC-Verbindung erkennen. Der ausgenutzte Programmierfehler befindet sich in der PHP-Datei components/com_perform/perform.php. Sie bindet externe Dateien über den globalen Parameter $mosConfig_absolute_path ein, ohne zuvor sicherzustellen, dass er nicht manipuliert wurde. Ein Angreifer kann dadurch unter Umständen beliebigen PHP-Schadcode nachladen, wenn der Webserver mit register_globals=on läuft. Das Botnetz nutzt die Suchmaschine Google, um nach weiteren potenziellen Opfern zu suchen. Es umfasst derzeit rund 100 kompromittierte Server und wächst weiter.

Eine vergleichbare Schwachstelle wurde erst kürzlich in der Erweiterung Galleria bekannt. Möglicherweise ist sie auch in anderen Modulen zu finden. Den Joomla-Entwicklern ist die Problematik mit löchrigen Erweiterungen jedoch schon bekannt. Sie empfehlen allen Joomla-Betreibern, die PHP-Dateien ihrer Erweiterungen zu überprüfen. Diese sollten zu Beginn einer Zeile in der Form

defined( '_VALID_MOS' ) or die( 'Direct Access not allowed.' );

enthalten, die gegebenenfalls nachgerĂĽstet werden sollte. Die Abfrage schĂĽtzt die Skripte vor einem direktem Aufruf, wie es fĂĽr die meisten Exploits notwendig ist. Ebenfalls ist es unbedingt ratsam, einen PHP-Webserver mit register_globals=off zu betreiben. Diese Einstellung in der php.ini schĂĽtzt vor einem groĂźen Teil der bekannten und unbekannten Schwachstellen in PHP-Skripten. (cr)