Jmail Breaker : Exploitation du service de messagerie de Joomla!

2
124

Les chercheurs de Check Point ont découvert qu’une nouvelle campagne d’attaque menée par le pirate informatique Alarg53, qui n’en est pas à son coup d’essai, est en cours. Cette attaque exploite une vulnérabilité dans JMail, le service de messagerie de Joomla!. L’attaque a été baptisée Jmail Breaker.

Une étude menée par : Asaf G. et Adi I. – Joomla! est l’une des plates-formes de gestion des contenus les plus populaires, utilisée par des centaines de milliers d’entreprises dans le monde entier. Au fil des années, de nombreuses vulnérabilités ont été détectées dans le produit, telles que l’escalade des privilèges XSS dans le noyau Joomla! (CVE-2017-7985) et l’exécution de commandes à distance par injection d’objets dans Joomla! (CVE-2015-8562). Au cours des deux années passées, le nombre de vulnérabilités connues dans Joomla! a considérablement augmenté.

Plus récemment, cependant, Check Point Research a découvert une nouvelle campagne menée par un pirate connu, qui exploite une nouvelle vulnérabilité dans JMail, le service de messagerie de Joomla!, pour monétiser son attaque.

Jmail est le service de messagerie de Joomla!, permettant à ses utilisateurs d’envoyer des emails via la plate-forme. Bien que le service ne soit destiné qu’à l’envoi d’emails, sans mécanismes de sécurité appropriés, il peut être détourné pour envoyer des emails de phishing et de spam, et peut même servir de porte dérobée au sein de la plate-forme. En implémentant de simples instructions dans l’en-tête User-Agent des requêtes HTTP, il est en effet possible de manipuler la plate-forme et remplacer le service Jmail existant.

Le pirate Alarg53 en est de toute évidence conscient et exploite actuellement ces vulnérabilités pour mener une campagne de spam lucrative. Ce n’est pas la première fois qu’Alarg53 est impliqué dans de telles activités. En 2017, il a attiré l’attention du monde entier en piratant des serveurs de l’Université de Stanford à des fins similaires via une vulnérabilité WordPress. Ce pirate informatique connu a réussi à pirater plus de 15 000 sites. Fort de la réussite de ses attaques, il les a désormais transformées afin d’implémenter une infrastructure de porte de service et de phishing à grande échelle.

Déroulement d’une attaque

1) Exploitation de l’exécution de commandes à distance par injection d’objets dans Joomla!

Tout d’abord, le pirate utilise une ancienne vulnérabilité, déjà bien connue, d’exécution de code à distance par injection d’objet, dans laquelle du code est injecté dans le champ d’en-tête User-Agent des requêtes HTTP. Dans notre cas, le pirate injecte une chaîne base64 dans le champ User-Agent.

Le code PHP télécharge ensuite des fichiers et les stocke dans un répertoire spécifique. Une fois décodés, ils sont transformés en code PHP qui s’exécute sur la machine de la victime. Le code essaie de télécharger des fichiers spécifiques à partir de Pastebin pour les stocker dans un répertoire désigné. Lors de l’une des tentatives de téléchargement, nous avons constaté que le chemin de destination indiqué était « ./libraries/joomla/jmail.php ».

Il convient de mentionner que les URL de certains fichiers n’étaient plus actives au moment de leur découverte.

Contournement du service Jmail de Joomla!

Le fichier en question était apparemment un fichier HTML contenant également du code PHP. Le fichier contenait deux sections principales chargées de deux fonctionnalités : l’envoi d’emails et le téléchargement de fichiers. Une fois téléchargé, le fichier remplace le service Jmail de Joomla!.

Afin de déguiser la fonctionnalité de téléchargement, le pirate utilise de nombreux tags BR et positionne le code pertinent à la fin du fichier.

Importante infrastructure de porte dérobée et de phishing

À partir de là, ce fichier devient une infrastructure permettant au pirate de télécharger des fichiers et envoyer des emails à ses propres fins. D’après les activités de notre pirate sur le web, il semblerait que cette infrastructure soit utilisée à des fins de phishing et de spam.

Qui est à l’origine de cette attaque ?

Selon plusieurs indicateurs, le pirate égyptien appelé Alarg53, spécialisé dans les dégradations de sites, en serait le responsable. Au cours des années précédentes, Alarg53 a réussi à pirater plus de 15 000 sites web pour remplacer leur page d’accueil par le visuel « Piraté par Alarg53 ». Plus récemment, il a non seulement tenté de pirater des sites web, mais également d’établir une infrastructure de phishing et de spam. En 2017, Alarag53 s’est distingué en attaquant le site web du Centre de biologie sur le vieillissement de l’Université de Stanford. On pensait initialement qu’il ne s’agissait que d’une simple dégradation, mais au bout de quelques heures, deux fichiers PHP ont été téléchargés sur les serveurs correspondants, permettant au pirate d’envoyer de grandes quantités de spam.

Alarg53 était initialement un hacktiviste, piratant des sites afin de soutenir son idéologie et par pur défi. Il a cependant récemment commencé à monétiser ses activités via des attaques de chiffrement et la mise en place d’infrastructures de phishing.

Ses attaques ont touché de nombreux pays dans le monde, notamment les États Unis, le Mexique, le Portugal, le Royaume-Uni, la France, l’Inde et le Japon. De nombreux secteurs ont également été touchés, notamment la finance, les banques et le gouvernement.

Résumé

Jmail Breaker est une porte dérobée et une infrastructure de phishing mises en place par un pirate informatique connu et expérimenté. En exploitant une ancienne vulnérabilité d’injection d’objets dans Joomla!, le pirate a réussi à créer une infrastructure de phishing et de spam afin de la monétiser. Nous estimons que de telles méthodologies d’envoi de spam seront plus courantes dans un proche avenir.

2 Commentaires

  1. We offer you the opportunity to advertise your products and services.
    Hi! Please note an important offering for you. I can send your commercial offers or messages through feedback forms. The advantage of this method is that the messages sent through the feedback forms are included in the white list. This method increases the chance that your message will be read. The same way as you received this message.

    Sending via Feedback Forms to any domain zones of the world. (more than 1000 domain zones.). The cost of sending 1 million messages for any domain zone of the world is $ 49 instead of $ 99.
    Domain zone .com – (12 million messages sent) – $399 instead of $699
    All domain zones in Europe- (8 million messages sent) – $ 299 instead of $599
    All sites in the world (25 million messages sent) – $499 instead of $999
    Domain zone .de – (2 million messages sent) – $99 instead of $199
    Domain zone .uk – (1.5 million messages sent) – $69 instead of $139
    Domain zone .nl – (700 000 sent messages) – $39 instead of $79

    Discounts are valid until March 25.

    Contact us.
    Telegram – @FeedbackFormEU
    Skype – FeedbackForm2019
    Email – FeedbackForm2019@gmail.com

    Thank you for your attention.

Les commentaires sont fermés.