Aggiornamenti recenti Luglio 11th, 2025 4:49 PM
Nov 02, 2016 Marco Schiaffino Attacchi, Hacking, In evidenza, News, RSS, Vulnerabilità 0
Ogni volta che salta fuori una vulnerabilità in un software molto popolare, si ripete la stessa storia: appena la falla di sicurezza diventa pubblica, i pirati si attrezzano in tempo record e cercano di colpire prima che gli amministratori abbiano implementato le patch.
Nel caso di Joomla, che il 25 ottobre ha pubblicato un aggiornamento che metteva mano a due vulnerabilità critiche della sua piattaforma, il fenomeno però ha assunto dimensioni spaventose.
Secondo quanto riportato da Daniel Cid di Sucuri, tutto è accaduto una manciata di ore dopo l’annuncio dell’aggiornamento.
Le due vulnerabilità, come abbiamo riportato, consentono a un attaccante di registrarsi a un sito e ottenere privilegi di amministratore. Joomla ha volutamente evitato di fornire maggiori dettagli sulle falle di sicurezza, ma a quanto pare l’accorgimento non è stato sufficiente per evitare un’ondata di attacchi.
Come spiega lo stesso Cid, infatti, per mettere a punto un exploit in grado di sfruttare le vulnerabilità è sufficiente eseguire un processo di reverse engineering sulla patch distribuita. Un’operazione che molti hanno portato a termine una manciata di ore dopo la pubblicazione dell’aggiornamento.
A meno di 24 ore dal rilascio della patch, gli strumenti di monitoraggio di Sucuri, spiega Daniel Cid, hanno cominciato a rilevare le prime attività anomale: ping e collegamenti ai siti per verificare la presenza della vulnerabilità.
La situazione, però, è peggiorata rapidamente. Dalle 9 di sera (ora italiana) del 26 ottobre è partito un attacco su larga scala che aveva come obiettivo quello di colpire i siti creati con Joomla per creare un utente con nome db_cfg e password fsugmze3.
Questo primo attacco, secondo Sucuri, sarebbe stato portato da tre indirizzi IP (82.76.195.141; 82.77.15.204; 81.196.107.174) che fanno riferimento alla Romania. In contemporanea, un secondo attacco con caratteristiche simili è partito da un altro indirizzo IP (185.129.148.216).
L’aumento esponenziale di attacchi nei confronti dei siti creati con Joomla è davvero impressionante.
Nelle ore successive gli attacchi sono diventati numerosissimi. Sucuri, attraverso i suoi strumenti di monitoraggio, ne ha registrati più di 27.000.
Il dato, però, si riferisce solo ai siti che la società di sicurezza è in grado di monitorare e, di conseguenza, è presumibile che il numero di attacchi sia decisamente superiore.
Secondo i ricercatori di Sucuri, è ragionevole dare per scontato che qualsiasi sito che non abbia implementato l’aggiornamento in tempi rapidi sia stato compromesso.
Il suggerimento per gli amministratori (oltre ad aggiornare il software il prima possibile) è di controllare i log di sistema confrontandoli con gli indirizzi IP riportati e con il comando task=user.register. La loro presenza nei log è un indizio di una possibile compromissione.
Gen 10, 2024 0
Ott 17, 2018 0
Mag 23, 2018 1
Mar 15, 2018 0
Lug 11, 2025 0
Lug 10, 2025 0
Lug 09, 2025 0
Lug 08, 2025 0
Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 11, 2025 0
I ricercatori di PCA Cybersecurity hanno individuato un set...Lug 10, 2025 0
Un nuovo gruppo APT entra nei radar dei ricercatori di...Lug 09, 2025 0
Un gruppo di cybercriminali ha rubato circa 140 milioni...Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 07, 2025 0
Da giovedì scorso Ingram Micro sta soffrendo per via di...