image

Joomla backdoor in copyrightlicentie verstopt

zondag 11 augustus 2013, 12:38 door Redactie, 13 reacties

Beveiligingsonderzoekers hebben een backdoor ontdekt die zich op gehackte Joomla-websites op een bijzondere plek verstopt, namelijk een bestand dat zich als de GNU GPL-licentie voordoet. Joomla is een populair open source contentmanagementsysteem (CMS). De backdoorcode was door de aanvallers toegevoegd aan het legitieme bestand COPYRIGHT.php. De copyrighttekst was daarbij intact gelaten.

Via de backdoor kan een aanvaller commando's op de website en het onderliggende systeem uitvoeren. "Dit is met name geniepig omdat de backdoor in een normale copyrightbestand was geplaatst, in de kern van een open source programma. Een doorsnee gebruiker zou dit mogelijk niet hebben gezien", aldus Rodrigo Escobar van beveiligingsbedrijf Sucuri.

Hieronder het eerste gedeelte van de copyrightlicentie en de backdoor die een functie genaamd Copyright3_6_56() aanroept. Deze functie wordt verderop in de tekst beschreven.

Update 12 augustus

Hoewel Escobar het niet duidelijk vermeldt, is de backdoor niet aanwezig in de standaard installatie van Joomla, maar gaat het om websites waar aanvallers toegang toe wisten te krijgen en vervolgens het eerder genoemde bestand gebruikten om hun backdoor te verbergen.

Image

Reacties (13)
11-08-2013, 18:27 door meinonA
Waarom is dat nou weer een uitvoerbaar .php-bestand en niet gewoon een .txt?
11-08-2013, 19:25 door MI-10 - Bijgewerkt: 11-08-2013, 19:30
En hoe lang zit dit in Joomla verborgen?

De opmerking dat Open Source zoveel beter zou zijn (omdat iedereen het kan controleren) gaat (volgens dit voorbeeld dus) gewoon niet op.
The regular eye may not have spotted this, and in turn would have been susceptible to arbitrary execution of code on their website by attackers.

Bovendien is de vraag wie de code regelmatig en veelvuldig echt checkt? Als dat niet gebeurt, dan kunnen backdoors als deze dus lange tijd in de software verborgen zitten zonder dat iemand dat weet!
11-08-2013, 23:12 door Jacob Lageveen - Bijgewerkt: 11-08-2013, 23:12
MI-10 heeft gelijk. En vooral in het geval van Joomla. In het verleden is wel gebleken dat Joomla haar software gerust op de markt brengt terwijl het nog vol zit met beveiligingslekken. Drupal en ook Wordpress zijn wat dat betreft interessanter. Vaak zijn het bij die cms systemen de plugins, themes en andere uitbreidingen die voor problemen kunnen zorgen. De systemen zelf zijn de laatste tijd dik in orde.
12-08-2013, 07:27 door sjonniev
Door meinonA: Waarom is dat nou weer een uitvoerbaar .php-bestand en niet gewoon een .txt?
Exact!
12-08-2013, 09:13 door Anoniem
Door MI-10: En hoe lang zit dit in Joomla verborgen?
Als ze een publiek source management systeem hebben (CVS, SVN, git, noem maar op) is dat vrij simpel uit te vogelen.

De opmerking dat Open Source zoveel beter zou zijn (omdat iedereen het kan controleren) gaat (volgens dit voorbeeld dus) gewoon niet op.
Deze redenering moet je nog maar eens over doen. De opmerking die je aanhaalt gaat over zichtbaar zijn, niet over dat dus iedereen ook gaat kijken. Want niet zichtbaar betekent dat je niet eens kan kijken. Jouw conclusie is daarmee niet recht aan de premisse te lijmen.

Deze tegenwerping klinkt als woordwezelarij, maar is het niet. Want als je jouw redenering omdraait, wat krijg je dan? Zou het dan dus met gesloten software beter gegaan zijn?


Bovendien is de vraag wie de code regelmatig en veelvuldig echt checkt? Als dat niet gebeurt, dan kunnen backdoors als deze dus lange tijd in de software verborgen zitten zonder dat iemand dat weet!
Ik denk dat een vergelijkbare achterdeur in gesloten software veel langer onopgemerkt was gebleven. Want alleen werknemers van het bedrijf hadden 'm kunnen zien en die 1) hebben belang bij de naam van het bedrijf hooghouden en dan is onder de pet houden wel zo makkelijk en 2) hun baas zal meer waarde zien in nieuwe code toevoegen dan bestaande code doorspitten op rarigheden. Het werkt toch? Afblijven en doorwerken dan.

Nog afgezien van achterdeuren die er willens en wetens, welicht zelfs op aanwijzing van een overheidsdienst, door de fabrikant zelf ingebouwd zijn. We weten bijvoorbeeld nog steeds niet waar die sleutel met "NSA" erop toe dient die ergens in een zeker veelgebruikt desktopemulatiesysteem ingebouwd zit. Hadden ze zo'nzelfde sleutel zonder dat label erop gebruikt dan hadden we het niet eens gevonden.

Ik wil niet impliceren dat open source altijd overal beter in en voor moet zijn. Er zijn best ook nadelen, maar dat is niet dit. Gesloten source heeft ook voor- en nadelen, maar dat zijn gewoon hele andere. Ik denk dat als je eerlijk bent in plaats van al te graag spijkers op laag water te zoeken, dat je dan jouw redenatie intrekt en nog even goed nadenkt.

Een betere redenatie is je afvragen hoe deze achterdeur er in kon sluipen. Als we dat weten, kunnen we kijken waar het aan schort; wellicht heeft er een committer een bijdrage (van wellicht weer iemand anders) niet goed doorgekeken. Dat is zeker een gevaar van open source. Bij gesloten source zal dat wellicht minder snel gebeuren, hoewel je een heleboel voorelkaar kan krijgen met een beetje social engineering. Maar dat je het dan tenmiste kan zien (in de source of zelfs gedetailleerd met tijd en datum in de commithistorie) is zeer zeker geen nadeel.
12-08-2013, 10:19 door Anoniem
Beste iedereen,

Ik ga ervanuit dat dit niet vanaf Joomla zo meegeleverd wordt, maar dat iets dat al op je pc zit/een worm die je brakke wachtwoord raadt, dit toevoegt.

Eenmaal toegevoegd kan de C&C server je GNU openen en feest vieren op je machine.

Dus als jij je wachtwoord nog steeds lekker gemakkelijk houd, en niet controleert op mislukte inlog-pogingen/succesvolle pogingen, dan verdien je het eigenlijk wel een beetje om gepakt te worden.
12-08-2013, 10:33 door Malicious User
Wat een schimmige blogpost. Bedoelt hij nu dat er een backdoor in Joomla zat of dat dit bij 1 specifieke Joomla install is gebeurd? Ik gok het laatste maar hij laat het lekker in het midden (om aandacht te trekken?).
12-08-2013, 11:02 door Anoniem
Vanaf versie 2.5.0 zit je veilig.
https://github.com/joomla/joomla-cms/commit/de4a567e3a3d0aacc152b8da9c2ff6b59c80fa9c
Nu nog uitzoeken welke versies 'kwetsbaar' zijn en wie verantwoordelijk is voor deze backdoor.

Volgens mij is het niet het COPYRIGHT.php bestand, maar het LICENCE.php bestand.
COPYRIGHT.php bestaat namelijk niet.
12-08-2013, 11:16 door EzMe
Meer info hieerrrrr: http://www.mydogear.com/articles/52054991f1a81d17616c2af5
12-08-2013, 11:17 door Anoniem
Merkwaardig: De string 'Copyright3_6_56()' komt nergens voor in de originele Joomla code.
https://github.com/joomla/joomla-cms/search?q=Copyright3_6_56%28%29&type=Code
12-08-2013, 14:01 door Anoniem
De backdoor zit niet in Joomla, maar er wordt een COPYRIGHT.php toegevoegd in de folder met daarin de exploit. Dit is dus eigenlijk helemaal niet Joomla gerelateerd, maar kan net zo goed bij Wordpress of andere PHP software gebeuren.

zoals al gemeld, Copyright3_6_56 komt niet eens voor in de Joomla repository: https://github.com/joomla/joomla-cms/search?q=Copyright3_6_56&type=Code
12-08-2013, 19:01 door Anoniem
Door Anoniem: De backdoor zit niet in Joomla, maar er wordt een COPYRIGHT.php toegevoegd in de folder met daarin de exploit. Dit is dus eigenlijk helemaal niet Joomla gerelateerd, maar kan net zo goed bij Wordpress of andere PHP software gebeuren.
De blogpost zegt alleen maar vagelijk "is toegevoegd aan een bestand", maar heeft dus zelf ook niet door dat het bestand in een standaardinstallatie gewoon niet bestaat. En de Redactie doet niet meer dan dit onduidelijke verhaal te vertalen en onduidelijk samen te vatten. Beiden zijn nou niet echt bevorderlijk voor de helderheid die je voor verbeteren van de toch complexe materie van computerveiligheid toch wel erg nodig hebt. Zelfs een inhollandjournalist moet dit beter kunnen.
13-08-2013, 11:49 door Anoniem
Door Anoniem: De backdoor zit niet in Joomla, maar er wordt een COPYRIGHT.php toegevoegd in de folder met daarin de exploit. Dit is dus eigenlijk helemaal niet Joomla gerelateerd, maar kan net zo goed bij Wordpress of andere PHP software gebeuren.

zoals al gemeld, Copyright3_6_56 komt niet eens voor in de Joomla repository: https://github.com/joomla/joomla-cms/search?q=Copyright3_6_56&type=Code
In de 'oude' Joomla v1.5 bestaat er wel een COPYRIGHT.php bestand
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.