Editor JCE patrí už dlhé roky medzi najobľúbenejšie rozšírenia pre redakčný systém Joomla. Používa ho veľké množstvo webových stránok po celom svete, preto každá objavená bezpečnostná chyba prirodzene vzbudí veľkú pozornosť.

V posledných dňoch bola zverejnená jedna z najzávažnejších zraniteľností, aké sa v histórii tejto komponenty objavili.

 

Čo sa stalo v JCE editore?

Bezpečnostní analytici objavili kritickú zraniteľnosť v editore, ktorá umožňovala útočníkovi bez prihlásenia získať kontrolu nad webovou stránkou. Chyba vznikla kombináciou nedostatočnej kontroly oprávnení a možnosti nahrať na server škodlivý PHP súbor. Po jeho spustení mohol útočník vykonávať na serveri ľubovoľné príkazy.

Ide o zraniteľnosť s hodnotením CVSS 10.0, teda najvyšším možným stupňom závažnosti. Krátko po jej zverejnení sa objavili automatizované útoky, ktoré vyhľadávali zraniteľné Joomla stránky po celom internete.

Vývojári JCE reagovali veľmi rýchlo a vydali opravenú verziu, ktorá problém odstránila a zároveň sprísnila ďalšie bezpečnostné mechanizmy komponenty.

 

Je to pre tento joomla editor bežné?

Nie.

JCE má medzi Joomla rozšíreniami dlhodobo veľmi dobrú povesť a patrí medzi najspoľahlivejšie editory. Kritické zraniteľnosti umožňujúce úplné prevzatie webu sa pri tejto komponentne objavujú výnimočne.

Treba si uvedomiť, že čím je rozšírenie populárnejšie, tým častejšie sa stáva cieľom útočníkov. Samotný výskyt takejto chyby preto automaticky neznamená, že ide o nekvalitný softvér. Dôležité je najmä to, ako rýchlo vývojári reagujú a ako rýchlo správcovia webov nainštalujú bezpečnostnú aktualizáciu.

 

Ako sa môže napadnutie webstránky prejaviť?

Nie každé napadnutie je okamžite viditeľné. Útočníci sa často snažia zostať čo najdlhšie neodhalení.

Medzi najčastejšie príznaky patria:

  • spomalenie webovej stránky alebo zvýšené zaťaženie servera,
  • vytvorenie neznámych administrátorských účtov v Joomla,
  • neznáme PHP súbory v adresároch,
  • presmerovanie návštevníkov na podvodné alebo reklamné stránky,
  • odosielanie nevyžiadanej pošty zo servera,
  • zobrazenie škodlivého obsahu iba vyhľadávačom (SEO spam),
  • upozornenie od poskytovateľa hostingu alebo od spoločnosti Google na výskyt škodlivého obsahu.

V mnohých prípadoch pritom web na prvý pohľad funguje úplne normálne.

 

Čo urobiť, ak používate v Joomle editor JCE?

Ak máte na stránke nainštalovaný editor JCE, odporúčame:

  1. okamžite aktualizovať JCE na najnovšiu verziu,
  2. aktualizovať aj samotnú Joomla a všetky ostatné rozšírenia,
  3. skontrolovať zoznam administrátorov,
  4. preveriť podozrivé súbory nahrané na server,
  5. skontrolovať logy hostingu alebo webového servera,
  6. zmeniť heslá administrátorov, FTP, SSH aj databázy,
  7. vytvoriť novú zálohu až po dôkladnom overení, že je web čistý.

 

Čo robiť, ak bol web napadnutý?

Samotná aktualizácia nestačí.

Ak sa útočník dostal do systému ešte pred nainštalovaním opravy, môže na serveri zanechať tzv. backdoor – skrytý škodlivý súbor, ktorý mu umožní opätovný prístup aj po aktualizácii.

Odporúčaný postup je:

  • uviesť web do režimu údržby,
  • vytvoriť kompletnú kópiu napadnutého stavu na analýzu,
  • odstrániť škodlivé súbory,
  • preveriť databázu,
  • skontrolovať všetky administrátorské účty,
  • obnoviť web z dôveryhodnej zálohy, ak je k dispozícii,
  • zmeniť všetky prístupové údaje,
  • až následne web opäť sprístupniť návštevníkom.

Pri väčších firemných stránkach alebo e-shopoch sa odporúča vykonať tento kompletný postup, pretože útočníci často zanechávajú viacero spôsobov, ako sa do systému vrátiť.

 

Prevencia je vždy jednoduchšia ako riešenie následkov

Najlepšou ochranou zostáva pravidelná údržba webu. Tá zahŕňa:

  • pravidelné aktualizácie Joomla a všetkých rozšírení,
  • automatické alebo pravidelné zálohovanie,
  • priebežnú kontrolu logov a bezpečnostných upozornení,
  • používanie silných hesiel a viacfaktorového overenia administrátorov,
  • pravidelná kontrola najmä pri starších weboch.

Jedna neaktualizovaná komponenta môže stačiť na kompromitovanie celej stránky. V prípade tejto zraniteľnosti boli útoky automatizované a zameriavali sa na tisíce webov naraz. Práve preto sa oplatí bezpečnostné aktualizácie neodkladať – ich inštalácia zaberie niekoľko minút, zatiaľ čo obnova napadnutého webu môže trvať hodiny až dni.

Ak máte problém s bezpečnosťou vašej Joomla stránky, kontaktujte ma a váš web preverím, prípadne urobím potrebné opravy.