Amaran pengguna Joomla CMS Versi 1.5.0 - 1.5.5

Adalah dimaklumkan bahawa GCERT telah menerima makluman bahawa terdapat kelemahan pada aplikasi Joomla! versi 1.5.x yang digunakan oleh beberapa laman web agensi kerajaan yang terdedah kepada ancaman password reset bagi akaun Administrator secara jarak jauh.

Kelemahan tersebut akan membolehkan kata laluan bagi ‘Administrator’ diubah dan seterusnya membolehkan penceroboh menukar maklumat yang terdapat pada laman web berkenaan. Penceroboh juga berupaya untuk memasukkan backdoor ke server berkenaan dan seterusnya mendapat kawalan penuh terhadap server web tersebut.

NOTA MAKLUMAN GCERT BIL. 4/2008

PADA 14 OGOS 2008

KETERANGAN ANCAMAN

Nama dan Jenis Ancaman : Joomla “token” Password Change Vulnerability (Pencerobohan Laman Web)

Tarikh Dikesan:13 Ogos 2008

Bilangan Agensi Terlibat: Semua agensi yang menggunakan Joomla! CMS versi 1.5.x

Sistem Pengoperasian/Aplikasi Berisiko: Joomla! CMS versi 1.5.0 - 1.5.5

Kaedah Serangan: Penceroboh boleh reset kata laluan bagi akaun pertama yang masih aktif (kebiasaannya adalah akaun Administrator)

Kesan Serangan:Penceroboh akan login sebagai ‘Administrator’ dan berupaya membuat pelbagai perubahan termasuk mengubah kandungan laman web, mencipta akaun pengguna yang baru, memuat naik backdoor, memasang perisian bot, dll.

Cadangan Tindakan Pengukuhan
1. Menukar (rename) akaun (login ID) ‘Administrator’ ke nama yang lain.
2. Menukar (rename) folder ‘administrator’ ke nama yang lain.
3. Menaiktaraf Joomla! CMS ke versi 1.5.6 atau audit source code bagi fail ‘reset.php’

Maklumat Lanjut
1. http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html
2. http://secunia.com/advisories/31457/
3. http://gcert.mampu.gov.my/index.php?option=com_content&task=view&id=209&Itemid=1