Adalah dimaklumkan bahawa GCERT telah menerima makluman bahawa terdapat kelemahan pada aplikasi Joomla! versi 1.5.x yang digunakan oleh beberapa laman web agensi kerajaan yang terdedah kepada ancaman password reset bagi akaun Administrator secara jarak jauh.
Kelemahan tersebut akan membolehkan kata laluan bagi 'Administrator' diubah dan seterusnya membolehkan penceroboh menukar maklumat yang terdapat pada laman web berkenaan. Penceroboh juga berupaya untuk memasukkan backdoor ke server berkenaan dan seterusnya mendapat kawalan penuh terhadap server web tersebut.
NOTA MAKLUMAN GCERT BIL. 4/2008
PADA 14 OGOS 2008
KETERANGAN ANCAMAN
Nama dan Jenis Ancaman
Joomla "token" Password Change Vulnerability
(Pencerobohan Laman Web)
Tarikh Dikesan
13 Ogos 2008
Bilangan Agensi Terlibat
Semua agensi yang menggunakan Joomla! CMS versi 1.5.x
Sistem Pengoperasian/Aplikasi Berisiko
Joomla! CMS versi 1.5.0 - 1.5.5
Kaedah Serangan
Penceroboh boleh reset kata laluan bagi akaun pertama yang masih aktif (kebiasaannya adalah akaun Administrator)
Kesan Serangan
Penceroboh akan login sebagai 'Administrator' dan berupaya membuat pelbagai perubahan termasuk mengubah kandungan laman web, mencipta akaun pengguna yang baru, memuat naik backdoor, memasang perisian bot, dll.
Cadangan Tindakan Pengukuhan
1. Menukar (rename) akaun (login ID) 'Administrator' ke nama yang lain.
2. Menukar (rename) folder 'administrator' ke nama yang lain.
3. Menaiktaraf Joomla! CMS ke versi 1.5.6 atau audit source code bagi fail 'reset.php'
Maklumat Lanjut
1. http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html
2. http://secunia.com/advisories/31457/
3. http://gcert.mampu.gov.my/index.php?option=com_content&task=view&id=209&Itemid=1
"BERKHIDMAT UNTUK NEGARA"
Government Computer Emergency Response Team (GCERT)
Aras 3, Blok B2
Bahagian Keselamatan ICT
MAMPU, Jabatan Perdana Menteri
62502 PUTRAJAYA
No. Tel: 03-8888 2273
No. Faks: 03-8888 3201
Thursday, August 21, 2008