[ALERTE] Compromission d'un système à distance via une vulnérabilité 0day au sein de Joomla!

Une vulnérabilité de type 0day a été découverte au sein de Joomla!. Son exploitation permet à un attaquant d’exécuter, à distance, des commandes arbitraires sur un serveur hébergeant une version vulnérable de Joomla!.

Les branches 1.5 à 3.4 de Joomla! sont affectées par cette vulnérabilité qui est déjà exploitée par les pirates depuis au moins 2 jours. Selon la société Sucuri, les attaques seraient actuellement lancées depuis les adresses IP suivantes :

* 74.3.170.33
* 146.0.72.83
* 194.28.174.106
* 173.245.53.153
* 195.191.149.139

Les marqueurs suivants vous permettront également d’identifier des tentatives d’exploitation de cette faille à l’encontre de vos sites Joomla!. Ces marqueurs sont à rechercher dans les logs d’accès à vos sites web, et plus particulièrement dans l’entête « User-Agent » :

* JDatabaseDriverMysqli
* O:

L’éditeur a mis à disposition des correctifs de sécurité pour les versions actuellement supportées, mais également pour les versions obsolètes, disponibles aux adresses suivantes :

* https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html
* https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions

Le CERT-XMCO vous recommande l’installation de ces correctifs au plus vite. En effet, suite à la publication de cette vulnérabilité, il est fort probable que les sites reposants sur Joomla! soient pris pour cible par des pirates.

* Correctifs pour les versions supportées de Joomla! :
https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html

* Correctifs pour les versions non supportées de Joomla!
https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions