資安公司TrustWave發現,開放源碼內容管理軟體Joomla 3.2版以上存在資料隱碼攻擊(SQL injection)漏洞,而使數百萬網站可能遭駭,讓駭客藉以取得網站的管理權限。
Turstwave旗下SpiderLabs研究人員Asaf Orpani首先發現編號為CVE-2015-7857的資料隱碼攻擊漏洞,以及編號CVE-2015-7297及CVE-2015-7858的相關漏洞。他指出,CVE-2015-7857存在於Joomla 3.2到3.4.4版,可讓未獲授權的遠端使用者挾持管理員通訊連線,取得管理員權限,控制整個網站,甚至進一步執行其他攻擊。
根據W3Techs截至2015年10月26日的最新資料顯示,Joomla擁有6.6%的內容管理系統軟體市場,僅次於WordPress的58.8%。BuiltWith以此推估全球有高達280萬個網站使用Joomla。
在測試中,Trustwave研究人員利用CVE-2015-7857漏洞,成功獲得管理員連線金鑰,並從網站資料庫取得連線ID,進而成功取得Joomla網站的管理員完整權限及存取帳密。
Orpani指出,由於該漏洞是存在於核心模組,因此所有使用Joomla 3.2版本以上的網站都會受到影響。
Joomla官網已經宣布釋出修補漏洞的3.4.5版。Trustwave建議網站管理員應立即升級到Joomla 3.4.5版以避免受駭。幸好這項漏洞僅在管理員登入網站後才會被攻擊,因此如果使用者因故無法立即升級,應在不使用期間登出網站,而期間若必須以管理員身份登入,也最好儘可能縮短登入時間。(編譯/林妍溱)