3qMEDIA - SEO / SEM / CONTENT

Ein Botnetz-Betreiber nutzt derzeit eine bislang unbekannte Schwachstelle in der Joomla Erweiterung perForms aus, um auf Joomla-Servern mit der verwundbaren Erweiterung einen IRC-Bot zu installieren. Infizierte Rechner lassen sich an einem laufenden Prozess namens httpdse und einer ausgehenden IRC-Verbindung erkennen. Der ausgenutzte Programmierfehler befindet sich in der PHP-Datei components/com_perform/perform.php.

Sie bindet externe Dateien über den globalen Parameter $mosConfig_absolute_path ein, ohne zuvor sicherzustellen, dass er nicht manipuliert wurde. Ein Angreifer kann dadurch unter Umständen beliebigen PHP-Schadcode nachladen, wenn der Webserver mit register_globals=on läuft. Das Botnetz nutzt die Suchmaschine Google, um nach weiteren potenziellen Opfern zu suchen. Es umfasst derzeit rund 100 kompromittierte Server und wächst weiter.  

Eine vergleichbare Schwachstelle wurde erst kürzlich in der Erweiterung Galleria bekannt. Möglicherweise ist sie auch in anderen Modulen zu finden. Den Joomla-Entwicklern ist die Problematik mit löchrigen Erweiterungen jedoch schon bekannt. Sie empfehlen allen Joomla-Betreibern, die PHP-Dateien ihrer Erweiterungen zu überprüfen. Diese sollten zu Beginn einer Zeile in der Form

defined( '_VALID_MOS' ) or die( 'Direct Access not allowed.' );

enthalten, die gegebenenfalls nachgerüstet werden sollte. Die Abfrage schützt die Skripte vor einem direktem Aufruf, wie es für die meisten Exploits notwendig ist. Ebenfalls ist es unbedingt ratsam, einen PHP-Webserver mit register_globals=off zu betreiben. Diese Einstellung in der php.ini schützt vor einem großen Teil der bekannten und unbekannten Schwachstellen in PHP-Skripten.

Quelle: heise.de (cr/c't)