Joomla! Scoperta vulnerabilità critica

Prima di appassionarmi e dedicarmi corpo e anima alla sicurezza informatica sono stato per molti anni un web-designer, mi occupavo di studiare, progettare e realizzare siti internet e piattaforme web, e proprio data la mia “militanza” nel web-development mi  preme segnalare questa nuova minaccia per gli addetti ai lavori.

Il tema riguarda la scoperta di una vulnerabilità critica su piattaforme web basate sulla tecnologia Joomla!, largamente utilizzata per la costruzione di portali web personalizzati di varia natura.

Joomla! è una delle tante piattaforme CMS (Content Management System ossia sistema di gestione dei contenuti, uno strumento software, installato su un server web, il cui compito è facilitare la gestione dei contenuti di siti web, svincolando il webmaster da conoscenze tecniche specifiche di programmazione Web.)

La criticità (CVE-2017-8917) affligge un componente core della piattaforma CMS  il quale,  a causa di lacune di validazione, risulta essere vulnerabile all’iniezione di codice SQL (SQL Injection) permettendo ad attaccanti di rete non autenticati di trafugare dati e perpetrare accessi abusivi ai danni delle macchine oggetto di attacco.

Il Produttore ha confermato la vulnerabilità relativamente alla versione 3.7.0 del CMS Joomla! ed ha rilasciato opportuni aggiornamenti di sicurezza.

Siccome ulteriori dettagli tecnici relativi alla problematica sono stati rilasciati al pubblico, il consiglia è quello di verificare lo stato di aggiornamento di eventuali portali basati su tecnologie Joomla! all’interno delle vostre organizzazioni ed applicare con urgenza la patch di sicurezza indicata.

Data la popolarità della tecnologia in oggetto, esiste il rischio che tale vulnerabilità diventi bersaglio di ondate di attacchi opportunistici in grado di trafugare dati e/o credenziali contenute all’interno dei database, compiere accessi abusivi ai sistemi, causare disservizi, perpetrare illeciti attraverso le infrastrutture e compiere defacement (gergo usato per descrivere una operazione di pirateria informatica consistente nella modifica del contenuto di una pagina o di un sito web mediante l’introduzione illecita di testi critici o sarcastici).

Ulteriori aggiornamenti li posterò direttamente in questo articolo, per il resto e come al solito, se ci sono domande sono a disposizione.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *