Mi rendo conto che quando parlo di defacement di un CMS finisco quasi sempre per riferirmi a casi che hanno coinvolto Joomla, ma sia chiaro che non considero questo Content Manager più esposto di altri ad attacchi, anzi, il fatto di essere un ottimo CMS, come del resto il suo progenitore Mambo, lo rende anche uno dei più utilizzati e quindi uno dei più esposti al baco più insidioso e (probabilmente) irrisolvibile: l'errore umano.
Per questo post farà riferimento ad un defacement che circa un anno fa ha coinvolto il sito Zone-H, dedicato all'ethical hacking e basato appunto su Joomla.
Avrei potuto prendere come esempio anche un caso più datato, i danni derivanti dall'errore umano prescindono infatti da qualsiasi aggiornamento inerente la sicurezza.
Nel caso specifico il portale, ha subito un attacco che è stato portato avanti nelle seguenti fasi:
- àˆ stato preso di mira un operatore di cui si conosceva l'indirizzo e-mail, quindi è stata inviata tramite il modulo "ricorda password" una richiesta di reset della chiave di accesso regolarmente inviata dal sistema;
- Sfruttando un XSS di Hotmail, è stato possibile recuperare un cookie di sessione relativo all'account di posta dell'operatore; grazie a questo cookie è stato quindi possibile accedere alla casella e recuperare i dati per l'autenticazione;
- L'operatore coinvolto aveva la possibilità di postare news ed immagini, ma non di pubblicarle; quando gli amministratori hanno trovato tra i contributi un articolo contenente l'immagine di defacement la decisione è stata quella di rimuovere l'account dell'operatore;
- L'immagine è però rimasta nell'apposita cartella per gli upload del CMS, questo fatto non è passato inosservato a chi ha sferrato l'attacco che è riuscito comunque a renderla visibile anche se soltanto agli operatori;
- Apparentemente l'attacco non aveva avuto conseguenze particolari, ma l'abilità di chi lo aveva sferrato era stata quella di gettare fumo negli occhi; infatti era stata uploadata anche una shell php (non vista), attraverso la quale ricercare una possibile falla per effettuare il defacement;
- Dopo alcuni tentativi andati a vuoto e la creazione di una nuova shell, l'attaccante è "finalmente" riuscito nel suo intento di modificare la home di Zone-h.
Alla fine dell'articolo sono stati elencati tutti gli errori che hanno portato alla vittoria dell'utente malintenzionato, mi piace però sottolineare questo passaggio a conferma di quanto ho scritto all'inizio del post:
Quello che non consideriamo un nostro errore è stato usare un CMS open souce come Joomla.