Vulnerabilidad en Joomla ha permitido atacar contraseñas durante 8 años

Durante nada menos que 8 años ha estado presente una vulnerabilidad que permitía atacar el inicio de sesión de Joomla y extraer contraseñas de los usuarios o administradores. Joomla es uno de los CMS más populares del mercado, con cerca de una cuarta parte del total de instalaciones, así que la noticia no es menor.

Un CMS o content Management System es un software que gestiona todo el contenido de nuestro sitio web, mostrando a los visitantes lo que publicamos (front-end) y ofreciendo un área de administración o back-end.

For the last eight years a critical vulnerability has lurked within the code of the Joomla CMS which could have allowed malicious hackers to steal every user’s login credentials – including those belonging to administrators.

Vulnerabilidad en Joomla permitía robar credenciales

Cualquier administrador web sabrá de la gravedad que puede suponer perder el control sobre todas las contraseñas del sitio. Esto puede implicar que el hacker tome el control del mismo y sirva malware al visitante, además de romper la confidencialidad o integridad, por no hablar de la disponibilidad de nuestra página.

La vulnerabilidad -que ha sido parcheada en la versión 3.8 de Joomla publicada hace días, ha sido presentada por RIPS Tech, una firma alemana de ciberseguridad.

Existía una antes desconocida vulnerabilidad de inyección de código en el protocolo LDAP de Joomla (Lightweight Directory Access Protocol) y más concretamente en su código de autenticación. Las versiones anteriores del software no «limpian» o sanean la entrada del usuario y esa falta de validación de código permite atacar la página de inicio de sesión de Joomla:

La falta de saneamiento de la credencial username empleada en la consulta LDAP permite que se modifique el resultado devuelto por la búsqueda LDAP. Utilizando caracteres comodín y observando los diferentes mensajes de error de autenticación, el atacante puede literalmente buscar credendiales progresivamente enviando una fila de payloads que adivinen la credencial carácter por carácter.

Si tiene éxito el ataque, los sujetos pueden obtener credenciales de administrador, obteniendo un control completo sobre el sitio. Millones de sitios web usan este software, así que el impacto ha sido muy grande. La peor noticia es que la vulnerabilidad parte de la versión 1.5, lanzada hace 8 años.

Auditorías pasadas sin rastro del fallo

El software open source es regularmente revisado por parte de investigadores en busca de fallos y Joomla no es una excepción. Sin embargo nadie hasta la fecha había dado con este grave problema. El hecho de que un software tan complejo pueda ser auditado por cualquiera no significa que siempre se encuentren todos los fallos…rápido.

Por suerte, tras recibir noticias sobre el problema los desarrolladores han reaccionado rápido lanzando la actualización pertinente. Lo que no sabremos probablemente es si esta vulnerabilidad en Joomla ha llegado a utilizarse…8 años son muchos años.