Joomla! è uno dei Content Management System più famosi ed è utilizzato da centinaia di migliaia di organizzazioni in tutto il mondo.
Nel corso degli anni, il CMS è stato al centro di molte vulnerabilità, come l’escalation dei privilegi del filtro per il cross-site scripting Joomla Core Sterilizer (CVE-2017-7985) e l’esecuzione di comandi remoti di Joomla Object Injection (CVE-2015-8562).
Recentemente Check Point Research, il team di ricerca di Check Point Software Technologies, ha scoperto una nuova campagna di attacchi a opera di un noto attore di minacce informatiche che sta sfruttando ovviamente a scopo di lucro una vulnerabilità presente in JMail, il servizio email di Joomla!.
JMail è il servizio di posta di Joomla, che consente all’utente di inviare posta attraverso la piattaforma. In mancanza di sistemi di sicurezza appropriati, il servizio può essere manipolato facilmente per essere utilizzato per il phishing, lo spam o addirittura per implementare un’infrastruttura backdoor all’interno della piattaforma. Infatti, alterando l’intestazione User-Agent nelle richieste HTTP, un criminale può manipolare la piattaforma e sovrascrivere il servizio JMail esistente.
Check Point Software Technologies segnala come l’attore della minaccia, Alarg53, è consapevole di questo e lo sta attualmente sfruttando per realizzare una campagna di spam davvero proficua. Secondo i ricercatori, Alarg53 non è nuovo in queste avventure. I dati dimostrano che Alarg53 è colpevole di ben 15.000 attacchi hacker, incluso quello che aveva coinvolto i server della Stanford University sfruttando una vulnerabilità di WordPress. In questa campagna, però, Alarg53 si è superato, includendo addirittura un’infrastruttura di backdoor e phishing significativa e su vasta scala.
Per ulteriori informazioni sull’attacco JMail Breaker, consulta il blog: https://research.checkpoint.