Stellungnahme zum aktuellen Bericht von Check Point

Aktuell wird in einem  Bericht von Check Point Research vor einer Sicherheitslücke in Joomla! gewarnt, die bereits im Dezember 2015 gepatcht wurde. Der Bericht wurde auch von der Threat Post übernommen. Beide Berichte enthalten eine Menge Unstimmigkeiten, die sich so lesen, als würde es sich um eine aktuelle Schwachstelle handeln.

Mit dieser Stellungnahme möchten wir die Fakten dazu klarstellen und den Joomla!-Usern versichern, dass es sich – anders als in den Berichten behauptet – nicht um ein aktuelles Problem handelt. In Wahrheit wurde diese Sicherheitslücke bereits im Dezember 2015 gepatcht. Denn wenn ein Risiko bekannt ist – und sei es noch so klein – wird dies  von der Joomla!-Community sehr ernst genommen.

In diesem Sinne möchten wir einige Punkte klarstellen:

• Es gibt kein aktuelles Sicherheitsproblem mit der JMail-Klasse.
• Das zugrunde liegende Problem, das zur Erstellung und Speicherung der backdoor verwendet wird, ist ein PHP-Problem und kein Joomla-Problem.
• Ein erfolgreicher Angriff ist nur mit stark veralteten PHP- und Joomla-Versionen möglich. Die PHP-Versionen 5.4.45, 5.5.29, 5.6.13 und alle höheren Versionen sind für diese Schwachstelle gepatcht. Es ist wichtig, Webseiten auf dem neuesten Stand zu halten. Mehr zu diesem Thema erfährst du hier.
• Maßnahmen zur Schadensbegrenzung für Joomla 1.5, 2.5 und 3 wurden vor mehr als 3 Jahren im Dezember 2015 veröffentlicht. Patches für EOL-Versionen wurden mit Joomla 3.4.7 veröffentlicht. Patches für die anderen Joomla-Versionen sind hier noch verfügbar. Das Joomla-Projekt verteilte zum Zeitpunkt der Entdeckung auch WAF-Regeln an viele Shared Hosting-Provider, um sich vor gemeinsamen Exploits dieser Schwachstelle zu schützen.
• Die im Bericht von Check Point erwähnte Datei ist keine Joomla-Kerndatei, sondern eine Kopie der ursprünglichen Klasse, die vom Angreifer verwendet wurde, um eine backdoor zu verschleiern.
• Die Datei "überschreibt" nicht die jMail-Klasse des Core.

Weitere Informationen zum Exploit

Das von Check Point beschriebene Muster ist ein klassisches Muster, bei dem der Angreifer ein bekanntes Sicherheitsproblem ausnutzt. Das Problem ist mehr als 3 Jahre alt und beruht auf einem Sicherheitsproblem in PHP und nicht in Joomla. Weitere Informationen zu diesem Thema findest du hier:

• https://developer.joomla.org/security-centre/639-20151206-core-session-hardening.html
• https://bugs.php.net/bug.php?id=70219

Durch die Ausnutzung dieser Schwachstelle kann ein Angreifer eine backdoor in die Webseite einbetten, die für bösartige Aktivitäten verwendet werden kann. Um die Erkennung so schwer wie möglich zu machen, verwenden Angreifer oft Kopien von echten Anwendungsdateien (in diesem Fall eine Kopie der Mailing-Klasse von Joomla), um ihren Exploit-Code einzubetten. Diese Kopien werden niemals bei der normalen Ausführung von Anwendungen verwendet, so dass es keine "Übersteuerung" gibt, wie im Bericht behauptet. Die Datei wurde einfach benutzt, um die eigentliche backdoor zu verschleiern.

Originaltext in Englisch: https://www.joomla.org/announcements/general-news/5762-a-statement-on-the-recent-report-by-check-point.html