Los ciberdelincuentes deben pensar cómo introducir las amenazas en los sitios web sin que estas sean detectadas. Las argucias pueden ser impensables pero la última que se ha detectado ha sorprendido a muchos expertos. Y es que se ha detectado una puerta trasera en la imagen del logotipo de Joomla, concretamente en los datos EXIF del archivo.
Se trata de una especificación muy utilizada sobre todo en cámaras digitales, y sirve para introducir metadatos a los archivos de imagen, como por ejemplo la fecha y hora, la configuración de la cámara con la que se ha obtenido la imagen,. la localización,…
Además, este código estaba codificado en base 64, permitiendo a los hackers que al ser cargada la imagen por el módulo php correspondiente este lleve a cabo la ejecución del código oculto en este campo del archivo. Se trata de algo relativamente nuevo, ya que en ocasiones anteriores se han detectado intentos para camuflar el código malware en el interior de la imagen, alterando de alguna manera la composición de la misma. Sin embargo, en esta ocasión no se ha introducido en el interior del archivo de imagen sino en un campo adicional destinado a aportar información sobre la imagen tomada.
Sin ir más lejos, el virus Vawtrack fue uno de los primeros en camuflarse en el interior de un archivo de imagen PNG.
Muchos expertos han esperado que desde el CMS aportasen algo más de luz pero este no ha sido el caso.
Esta puerta trasera habría sido introducida aprovechando una vulnerabilidad de Joomla
Los expertos encargados de descubrir esta puerta trasera aún no saben a ciencia cierta si se trata de un caso aislada o si existen más sitios web afectados que hagan uso de este CMS. De confirmarse esto último, casi con total seguridad los ciberdelincuentes habrían utilizado una vulnerabilidad existente en el sitio web, y a continuación es donde aparecen dos posibles alternativas: que la vulnerabilidad aún no esté ni catalogada ni parcheada o bien que sí esté parcheada y muchos usuarios aún no hayan instalado la versión que resuelve el problema. Aunque no lo parezca se trata de algo bastante habitual que no solo sucede en Joomla, también en WordPress y cualquier gestor de contenidos.
Para saber el alcance de este suceso desde el CMS deben aclarar qué es lo que ha sucedido y si se trata de un caso aislado en el que queda de manifiesto una mala configuración de seguridad.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad