Aufgepasst, wer AcyMailing ab Version 6.5 (Edition ist wurst) verwendet! Ihr seid gefährdet und solltet sofort auf die aktuelle Version (im Moment 8.7.1) updaten. Es klafft ein riesiges Scheunentor in frühheren Versionen, welches die Ausführung von beliebigem Code ermöglicht.
Die Lücke wurde bereits im Februar gemeldet, im März dann gepatcht, aber konnte danach immer noch ausgenützt werden.
Wenn ihr eine Seite mit AcyMailing betreibt, solltet ihr dringend euren Webspace abklopfen nach
- Dateien mit dem Namen thumbnail_*.php (beispielsweise thumbnail_123.png?.php) - gewisse Angriffsmuster schreiben diese Dateien nach media/com_acym/images/thumbnails, die Dateien können aber auch überall sonst auf dem Webspace abgelegt sein.
- Die häufigsten Angriffsmuster schreiben Backdoor-Dateien in die folgenden Verzeichnisse (XXX sind zufällige Buchstaben - das Datum dieser Dateien kann beliebig sein)
/api/includes/xxx.php
/components/com_ajax/xxx.php
/layouts/joomla/icon/xxx.php
/media/com_XXX/xxx.php
/media/com_tags/js/xxx.php
/templates/system/xxx.php - Sucht auf dem Webspace auch nach Dateien, die $_COOKIE enthalten, da häufige Angriffsmuster Hintertüren geschrieben haben, die zusätzlichen, in Cookies platzierten Code auswerten - etwaige Findings müssen dann aber einzeln ausgewertet werden, weil es auch viele legitime Nutzungen von $_COOKIES gibt.
Dieser Beitrag wurde abgekupfert von einem Forumseintrag von David Jardin im Board unserer Deutschen Kollegen
Link zum Blogeintrag von AcyMailing