Especialistas en ciberseguridad reportan el hallazgo de dos vulnerabilidades en Joomla, uno de los sistemas de gestión de contenidos (CMS) más populares en la actualidad con más de 1.5 millones de usuarios activos. Los expertos describen estas fallas como un error de restablecimiento de contraseña y una falla de scripts entre sitios (XSS) que podrían ser encadenadas para conducir al compromiso total del sistema objetivo.
El reporte fue publicado por los investigadores de la firma de seguridad Fortbridge, y reveladas acorde a los lineamientos establecidos por la comunidad de la ciberseguridad. Los desarrolladores de Joomla recibieron los reportes en marzo de 2021.
Después de recibir el reporte, Joomla comenzó a trabajar en el lanzamiento de un parche de seguridad para abordar la falla XSS; la versión 3.9.2 del CMS contiene dicha actualización. Por otra parte, la falla de restablecimiento de contraseña será corregida con una configuración “trusted_hosts“.
Adrian Tiron, miembro del equipo de investigación de Fortbridge, asegura que las fallas son de alta severidad y su explotación encadenada permitiría a los actores de amenazas desplegar severos ataques: “Si los atacantes acceden completamente al sitio web de Joomla, podrían cargar un shell php para ejecutar comandos en el servidor”, señala Tiron.
Como se menciona al inicio, la primera falla permitiría a los actores de amenazas restablecer una contraseña de administrador: “Los actores de amenazas activan el proceso de restablecimiento de contraseña, manipulan el enlace de restablecimiento y lo redirigen a su propio servidor, lo que les permitirá capturar el token de la víctima y establecer una nueva contraseña”, menciona Tiron.
El abuso de la vulnerabilidad XSS depende del éxito del primer ataque: “Una vez que los atacantes restablecen la contraseña y obtienen privilegios de administrador, es posible usar un ataque XSS para comprometer al usuario “super admin“.
Incrementando sus privilegios a “super admin“, los hackers maliciosos pueden obtener acceso completo al sistema y la capacidad de desplegar un ataque de ejecución remota de código (RCE) contra una implementación vulnerable de Joomla. El experto cree que este problema existe debido a que los desarrolladores del CMS emplearon una lista de bloqueo para prevenir el uso de extensiones maliciosas, aunque olvidaron bloquear .html.
Fortbridge publicó una descripción detallada de las vulnerabilidades en sus plataformas oficiales, además de publicar un código de prueba de concepto (PoC) en GitHub. Joomla recibió algunas solicitudes de información por parte de miembros de la comunidad de la ciberseguridad, aunque la compañía no se ha pronunciado al respecto.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
