Breaking
Joomla!
Joomla Day 2013, Napoli
Emilio Pinna 2013
Perchè
Attaccano il mio sito?
Siti vulnerabili facili da localizzare
- Scanner automatici e worms scandagliano continuamente la rete alla ricerca di vulnerabilità
- Ma spesso basta anche una query su google
Chi
Attacca il mio sito?
Cracker s.m.
/ˈkrækə(r)/
Colui che si ingegna per eludere le protezioni di un sistema informatico allo scopo di trarne profitto.
- Attacchi: web defacement, dos, database leaks
- Tecniche: vulnerabilità note, phishing
- Motivazioni: sfida personale, trolling, autoaffermazione in subculture di internet, hacktivism
Ethical Hacker
- Tecniche: ricerca nuove vulnerabilità, penetration test, OWASP, OSSTMM
- Motivazioni: sfida personale, autoaffermazione in ambienti di ricerca
Cracker
- Attacchi: mirati e persistenti, distribuzione di malware e spam, furto di beni e servizi, sabotaggio e spionaggio industriale
- Tecniche: ricerca nuove vulnerabilità, commercio 0day, ingegneria sociale
- Motivazioni: ritorno economico, sfida personale, hacktivism
Joomla
è vulnerabile?
Cms compromessi
Fonte: StopBadware - Compromised Websites 2011-2012
Massa critica
Oltre 35 milioni di download
Compromesso tra facilità d'uso, estensione e sicurezza
A portata di utenti senza particolari conoscenze tecniche
Security
Core
- Cuore della applicazione web Joomla
- Sicuro e robusto
- Espone API robuste per sviluppare estensioni
- Gestisce utenze, permessi, Access Control List
Estensioni
- Software aggiuntivo sviluppato da terze parti
- Circa 7000 estensioni disponibili
- Spesso non utilizzano le API di Joomla in maniera corretta
JSST
- Joomla! Security Strike Team
- Istituito nel 2008
- Code review di ogni main release del Core
- Buoni tempi di risposta a segnalazioni di vulnerabilità sul Core
- Estensioni non revisionate
- Mantenimento della Vulnerable Extension List
XSS 34,6%
La applicazione web riceve dal browser utente dei dati che restituisce allo stesso senza prima validarli e ripulirli
- Se un parametro di una richiesta HTTP viene riflesso sulla pagina restituita
- L'attaccante prepara un indirizzo allo scopo di iniettare codice HTML e Javascript nel browser di chi vi accede
Attacchi
- Session hijacking (furto cookie)
- Phishing (sostitizione di form di login)
- Redirezione verso siti malevoli (malware, exploiting)
- Attacco Man-In-The-Browser
Session Hijacking Mallory attacca Alice
- 1. M. prepara una richiesta XSS che inietti Javascript allo scopo di inviare i cookie di sessione a un proprio server in ascolto
- 2. M. invita l'amministratore A. in quel momento autenticata sul sito, a visitare l'indirizzo
- 3. A. clicca il link e il browser esegue il Javascript malevolo che invia i cookie di sessione alla macchina di M.
- 4. M. utilizza i cookie rubati ad A. per accedere come amministratore senza conoscerne la password
XSS disclosures
- 2013-3267: Serialized XSS nel Core Highlight Plugin <=v2.5.10&<=v3.0.4
- 2013-5583: XSS nelle librerie del Core idna_convert v3.1.5
- 2013-3059: XSS nel Core Voting Plugin <=v2.5.9&<=v3.0.2
- 2012-5455: XSS nel Core language search <=3.0.1
- ...
Info Disclosure 25,3%
La applicazione web rivela informazioni di sistema o di debug che possono aiutare l'attaccante a formulare un piano d'attacco
- 2012-3829: Path disclosure nel Core via HTTP header v2.5.3
- 2012-0837: Installation path disclosure nel Core v2.5.0
- ...
- 2013-1453: Serialized Info Disclosure nel Core Highlight Plugin <=v2.5.8&<=v3.0.2
- 2012-1599: Back end Info Disclosure nel Core <=v1.5.x
- ...
SQL injection 18,5%
- La applicazione web permette di inserire codice malevolo all'interno di una query SQL allo scopo di sottrarre e alterare i dati del database
- I dati inseriti nei form vengono utilizzati per interrogare il database
- La stringa composta seleziona tutti gli utenti con nome Emilio e password MyPassword
SELECT * FROM utenti WHERE nome='Emilio' AND password='MyPassword'
- Se i dati in input non sono correttamente sanificati, un attaccante può modificare la richiesta come desidera
SELECT * FROM utenti WHERE nome='' OR '1'='1';//' AND password='MyPassword'
- Sono selezionati gli utenti quando il nome è una stringa vuota o quando è verificata l'asserzione '1'='1'
- Poichè la seconda condizione è SEMPRE verificata, l'attaccante accede all'area protetta superando la richiesta di password
SQL Injections disclosures
- 2013-1453: Serialized SQLi nel Core Highlight Plugin <=v2.5.8&<=v3.0.2
- 2012-1116: SQL Injection nel Core v1.7.x&<=v2.5.2
- 2010-4696: SQL Injection nel Core <=v1.5.22
- ...
file upload 5,3%
La applicazione web non limita correttamente il caricamento dei file, permettendo l'esecuzione di codice malevolo sul server
Upload folder escape
- Evasione dalla directory consentita allo scopo di salvare il file in diverse cartelle dove è permessa l'esecuzione
Upload come '/var/www/webroot/backdoor.php', '../../backdoor.php'
Extensions white-list bypass
- Bypass del filtro sulle estensioni del file aggiungendo punti, spazi, estensioni, maiuscole, ...
Upload come 'backd.pHP', 'backd.php.', 'backd.jpg.php', 'backd.php '
Content-Type Filter bypass
- Bypass del filtro sul contenuto del file dichiarando un falso Content-Type nell'header HTTP della richiesta
Upload 'backdoor.php' con HTTP header 'Content-Type: image/jpeg'
File type recognizer bypass
- Bypass dei file type recognizer sugli header dei file appendendo codice maligno all'interno di un file immagine con header corretto
Appendere a un file GIF con header corretto del codice malevolo
GIF89a<?php echo("SYSTEM HACKED!");
File upload disclosures
- JSST-20130801: File upload nel Core <=v2.5.13<=v3.1.4
- 2012-2902: File upload nel componente JCE <=v2.1
- BID-57464: File upload nel componente Collector
- ...
Altro 16,2%
Qualche consiglio finale
Mantieni il tuo software aggiornato
- Il software invecchia e diventa insicuro molto presto. Quando possibile aggiorna Joomla e i componenti aggiuntivi installati alla ultima versione.
Segui lo sviluppo del software che usi
- Mantieniti sempre aggiornato sui software che usi. I siti ufficiali, i forum e le mailing list della community ti aiutano a capire il funzionamento e ti tengono aggiornato su eventuali vulnerabilità.
Scegli hosting provider di qualità
- Molte violazioni sono dovute a servizi di shared hosting che non isolano correttamente gli account degli utenti. Scegli il tuo hosting provider con cura basandoti sulle opinioni dei suoi utenti.
Diventa amministratore
- Impara le basi di sicurezza e amministrazione. Segui gli ottimi tutorial e la security checklist di Joomla per mantenere sano il tuo CMS e l'ambiente in cui risiede.