Het gevaar van het niet updaten van uw CMS
Als u ons vorige artikel "Waarom Joomla! updates belangrijk zijn" heeft gelezen dan heeft u al een beeld wat de problemen zijn die kunnen ontstaan indien u uw CMS niet onderhoud. Deze (mogelijke) gevaren c.q. problemen worden echter beter inzichtelijk met concrete voorbeelden. Een goed en recent voorbeeld is Joomla! patch 3.6.4 verschenen op 25 oktober 2016. De aankondiging en het beschikbaar worden van deze patch met daarop volgend een aanzienlijke verhoging van het aantal aanvallen gericht tegen Joomla! websites is tekend voor de snelheid waarmee u slachtoffer kan worden van hackers of malware.
Joomla! Security Release 3.6.4
Op 21 oktober 2016 kondigde het "Joomla! Security Strike Team" (JSST) geïnformeerd te zijn aangaande een veilgheidslek in de core van het CMS. Hierop zou op 25 oktober om 13:00 een nieuwe veiligheidsupdate in de vorm van versie 3.6.4 beschikbaar worden gesteld. Aangzien het hier ging om een zéér belangrijke veiligheidsupdate was het advies deze update nog op dezelfde dag uit te voeren. Dit advies in combinatie met het exacte tijdstip waarop de update werd uitgegeven geeft al aan dat het hier gaat om een verhoogd risico voor de veiligheid van uw website.
Het ontdekte lek maakt het voor derden (lees: hackers) mogelijk om op afstand nieuwe gebruikers aan te maken en hieraan rechten te verbinden, inclusief administrator rechten. De combinatie van deze twee kwesties geeft aanvallers voldoende mogelijkheden om uw site volledig over te nemen danwel kwaadaardige software te installeren.
Aanvallen registratie na release
Zodra een update uitkomt is het ook voor hackers enigszins duidelijk waar de lekken zich in het CMS bevinden en hoe hiervan gebruik gemaakt kan worden. Na het uitbrengen van de release is een team van veiligheids experts gestart met de registratie van aanvallen op Joomla! websites en de resultaten hiervan zijn interessant te noemen.
Ongeveer 24 uur na het uitbrengen van de update werden de eerste aanvallen waargenomen. Hierbij werden opdrachten richting het gebruiker registratie deel van een specifieke website gestuurd om te proberen nieuwe gebruikers aan te maken. Hierbij werden voornamelijk populaire Joomla! websites onder vuur genomen.
Slechts een aantal uur later werden de eerste massa aanvallen vanaf Roemeense IP adressen geregistreerd waarbij vele duizenden Joomla! sites het doelwit vormden. In vrijwel alle gevallen werd hierbij getracht een nieuwe gebruiker genaamd db_cfg met het wachtwoord fsugmze3 aan te maken. Indien uw website op dit moment nog niet van de update was voorzien en werd aangevallen dan is de kans groot dat uw website is gehackt.
Weten of u gehackt bent? Vraag een gratis scan aan.
Niet lang daarna werden ook grootschalige aanvallen vanuit Letland waargenomen waarbij hetzelfde principe gebruikt werd. Hierbij werd echter getracht willekeurige gebruikers aan te maken met een gemeenschappelijk Gmail e-mailadres.
De gevolgen van een gehackte website
Het is wellicht menselijk te denken dat de kans dat uw site wordt aangevallen bijzonder klein is. "Er zijn immers zoveel websites, en die van mij is echt niet zo bijzonder". Onthoud dat elke website een potentieel doelwit is van hackers. Voor vrijwel elke website bij ons in onderhoud hebben we een specifieke aanval weten te registreren, en ook af te slaan middels onze firewall.
Indien uw website nog niet is voorzien van de laatste Joomla! update dan kan er redelijkerwijs aangenomen worden dat uw website is gehackt. Het is daarom aan te raden direct actie te ondernemen door uw website te updaten naar de laatste Joomla! versie en een controle uit te voeren op nieuwe gebruikers in uw dashboard.