~~~~~~~~~~
ID-CERT mendapatkan informasi dari NCCIC tentang adanya kelemahan sistem yang melibatkan sejumlah IP Address Indonesia.
Beberapa nama domain dan IP address yang teridentifikasi mengandung malware dan terlibat dalam aktifitas botnet dapat dimintakan secara terpisah kepada ID-CERT dimana ID-CERT hanya akan mendistribusikan secara terbatas hanya pemilik alokasi IP Address/server yang terinfeksi lengkap dengan MD5-nya.
LATAR BELAKANG
~~~~~~~~~~~~~
Sejak Agustus 2012, sejumlah administrator website yang menggunakan Content Management System (CMS) Joomla telah melaporkan situs mereka terkontaminasi dan digunakan untuk menyimpan dan melakukan Distributed Denial of Service (DDoS). Diyakini bahwa sejumlah tools tersebut telah ditempatkan pada sejumlah server ini seiring dengan adanya kelemahan pada Joomla yang memungkinkan digunakan untuk melakukan serangan DDoS. Dua kelemahan pada Joomla versi 1.6 hingga 2.5.4 telah teridentifikasi dan telah digunakan untuk menyerang, meskipun administrator situs yang terkena telah membuat klaim yang belum dikonfirmasi bahwa instalasi Joomla 2.5.6 juga terpengaruh. Selain itu, beberapa indikator teknis telah diidentifikasi yang dapat membantu menemukan server dikompromikan. Kerentanan Joomla, bagaimanapun, bukan satu-satunya faktor yang telah digunakan untuk menyebarkan tools ini. Hal ini diyakini bahwa aktor musuh bisa juga dimanfaatkan CMS lainnya, termasuk versi rentan komponen WordPress. Taktik untuk mengeksploitasi Joomla dapat dengan mudah dimodifikasi untuk digunakan dengan CMS lainnya.
Dua jenis kerentanan Joomla yang telah diidentifikasi mungkin telah dimanfaatkan untuk menginfeksi server dengan script serangan, meskipun juga mungkin bahwa masalah keamanan lainnya adalah juga ikut mempengaruhi. Penyerang mungkin telah mendapatkan akses ke server dengan menciptakan akun pengguna Joomla dan mengeksploitasi kerentanan hak istimewa eskalasi untuk mendapatkan hak administrator dalam instalasi Joomla. Joomla baru saja merilis dua perbaikan untuk kerentanan yang dapat digunakan untuk serangan tersebut, mempengaruhi beberapa versi dari 1.6 sampai 2.5.4.
Ini telah dijelaskan di URL berikut:
- Developer.joomla.org/security/news/470-20120601-core-privilege-escalation.html
- Developer.joomla.org/security/news/395-20120303-core-privilege-escalation.html
Beberapa administrator telah menyatakan bahwa instalasi Joomla 2.5.6, yang tidak mengandung kelemahan ini, telah dimanfaatkan. Penjelasan beberapa klaim yang mungkin, termasuk bahwa penyerang mungkin telah membentuk pijakan melalui instalasi Joomla unpatched sebelum mereka diperbarui ke versi 2.5.6, atau mereka mungkin telah mengeksploitasi kerentanan lainnya dalam versi Joomla yang lebih baru.
Nama-nama dari file PHP yang terdiri dari alat serangan juga dapat membantu dalam mengidentifikasi server dikompromikan. Nama-nama file yang meliputi:
- Indx.php
- Kickstart.php
- Stcp.php
- Stph.php
- Inedx.php (harap dicatat tentang adanya salah ketik/ejaan)
- saerch.php (harap dicatat tentang adanya salah ketik/ejaan)
- confgic.php (BARU)
- stmdu.php (BARU)
Sejumlah Administrator situs Joomla yang membahas serangan ini, telah secara konsisten menyatakan bahwa file berbahaya ditempatkan ke dalam folder/administrator/templates/bluestork/ pada server mereka.
RINCIAN TEKNIS
~~~~~~~~~~~~~~
Nama Domain dan IP Address yang terkompromi, beberapa diantaranya telah dilaporkan oleh US-CERT kepada ID-CERT.
Rincian tentang hal ini dapat diminta.
HUBUNGI ID-CERT
~~~~~~~~~~~~~~
Silahkan menghubungi kami dibagian http://www.cert.or.id/kontak/
----------------------------------------------------------------------
PERINGATAN KEAMANAN / SECURITY ALERTS ID-CERT
Nomer: IDCERT 2012 - 0004
Tanggal: 14-DES -2012
=========================================
Acuan lainnya: 12-044 BANNERS - NCCIC-FBI-02
Saturday, December 15, 2012
Powered by WHMCompleteSolution