El tema de la seguridad en la web está llamando mucho la atención. Anteriormente se han presentado varios casos de ataques a sitios de gobiernos seccionales o dependencias del estado. Generalmente los ataques han sido «defacement» (alteración en la presentación) aprovechando alguna vulnerabilidad en el software instalado en el sitio.
Este semana se dieron a conocer dos casos atribuidos al grupo hacktivista Anonymous. Son frecuentes en Ecuador los sitios realizados en el CMS Joomla y los casos recientes se trataron de sitios web que corrían en Joomla 1.5, es decir sin las actualizaciones de seguridad de su versión actual, la 1.7.
Es por ello que hemos realizado un breve estudio de los sitios web gubernamentales (pertenecientes al gobierno central y a gobiernos seccionales) que aún trabajan con esa versión de Joomla para conocer cuántos están aún vulnerables al mismo tipo de ataque. El resultado es el siguiente:
Estos sitios web corren sobre Joomla 1.5:
- www.gobernacioncotopaxi.gob.ec
- www.guaranda.gob.ec
- www.naranjal.gob.ec
- www.ibarra.gob.ec
- www.chone.gob.ec
- www.juntaparroquialhonoratovasquez.gob.ec
- www.bomberosurcuqui.gob.ec
- www.gadzhud.gob.ec
- www.ferrocarrilesdelecuador.gob.ec
- www.pedrovicentemaldonado.gob.ec
- cneguayas.gob.ec
- www.emov.gob.ec
- www.municipiodemejia.gob.ec
- www.gparroquialconvento.gob.ec
- www.issfa.mil.ec
- www.fonsat.gov.ec
- www.incca.gov.ec
- www.efe.gov.ec
- cscg.gov.ec
- www.ambato.gov.ec
- www.mies.gov.ec
- www.municipiodemejia.gov.ec
- www.ambato.gov.ec
- cneguayas.gov.ec
- www.mecn.gov.ec
- www.mintel.gob.ec
- orellana.gob.ec
Estos sitios web corren sobre Joomla 1.6:
- mcpe.gob.ec
- gadpancon.gob.ec
- huaquillas.gob.ec
- dinardap.gob.ec
Sobre los sitios atacados recientemente, vemos que el del Municipio de Orellana, se encuentra ya operativo, pero no han realizado la actualización del software, es decir, aparentemente siguen como antes del ataque. El sitio del Municipio de Guayaquil aún no está funcionando normalmente.
Podemos ver también que sitio web del propio Ministerio de Telecomunicaciones y Sociedad de la Información se encuentra en la lista.
No se trata de satanizar a Joomla, ya que es común que softwares populares sean explotados a través de fallas conocidas. Realmente el tema es qué medidas toman los administradores de los sitios para contar siempre con las últimas actualizaciones de seguridad de los sistemas que usan.
Si nos hacen llegar cualquier corrección a la lista, la publicaremos inmediatamente ¿Conoces de otros sitios web que se deban incluir?
12 comentarios
Existe un script de milw0rm muy conocido para joomla 1.5
http://www.exploit-db.com/exploits/6234/
Primero deben estar parchados para esto. en algun momento el sitio de teleamazonas.com tuvo este problema y le ayude a parcharlo.
De que no mas deben cuidarse:
http://exploitsearch.com/search.html?cx=000255850439926950150%3A_vswux9nmz0&cof=FORID%3A10&q=joomla+1.5&sa=Search
Saludos
Existe un script de milw0rm muy conocido para joomla 1.5
http://www.exploit-db.com/exploits/6234/
Primero deben estar parchados para esto. en algun momento el sitio de teleamazonas.com tuvo este problema y le ayude a parcharlo.
De que no mas deben cuidarse:
http://exploitsearch.com/search.html?cx=000255850439926950150%3A_vswux9nmz0&cof=FORID%3A10&q=joomla+1.5&sa=Search
Saludos
Cualquier tecnología que venga impuesta y con una falsa percepción de invulnerabilidad va a tener estos problemas. No olvidemos que hemos invertido años diciéndole a la gente que «en Linux no hay virus», ergo en software libre no hay virus, ergo en Joomla! nada me va a pasar así que no le debo dedicar tiempo a atender a la seguridad, cuando la seguridad es un problema de personas y procesos, no solo de tecnología, y no hay modelos ni balas de plata en este tema.
Es bueno que se reconozca sin embargo que el market share (popularidad y penetración en el mercado) influyen directamente en que una tecnología provea una superficie de ataque con ROI óptimo, ya tuve la oportunidad de hablar en este blog sobre ello.
Suena trillado, pero en vez de criticar lo conocido, paso a explicar de manera directa lo que está llevando esta tendencia, que no debemos llamar escalada, pues desde hace años que se están atacando en Ecuador estos servicios.
Más que la versión de Joomla! es el uso indiscriminado de plantillas y componentes que pueden ser vulnerables lo que genera esta escalada.
Así mismo, permisologías inadecuadas en sistemas de archivos y bases de datos, así como en particiones completas, forman parte del problema, ejemplos:
1. www-data, apache o el usuario que corresponda al servidor Web con permisos de escritura en la raíz de la aplicación, facilitando explotar una vulnerabilidad para plantar un nuevo index.html con defacements o eliminar archivos de la raíz, incluyendo potencialmente archivos críticos como documentos.
2. Usuarios de aplicaciones PHP con permisos otorgados por sentencias GRANT ALL, cuando solo requieren SELECT, UPDATE, INSERT y/o DELETE.
3. Particiones temporales en sistemas Unix, como /tmp, montadas con permisos de ejecución, creación de dispositivos y archivos SUID, cuando deberían respetar lo establecido en FHS 2.3, 3.0 y mejores prácticas.
Así mismo, falta de mecanismos de reacción temprana, incluyendo páginas estáticas, sitios de respaldo y recuperación temprana de respaldos conocidos. Y en parte, mirándolo por escala, una total falta de visión en la consolidación de esfuerzos en centros de datos administrados o incluso en servicios de computación ofrecidos por terceros, como PaaS.
Es lamentable, pero si la opción más fácil hubiera sido Drupal, o WordPress, o phpBB, y se hubiera impuesto de forma indiscriminada y sin planificación su uso, hoy veríamos estos productos también vulnerados.
Faltan 2 importantes para que agregues a la lista:
http://www.presidencia.gob.ec/ y http://www.vicepresidencia.gob.ec/
Faltan 2 importantes para que agregues a la lista:
http://www.presidencia.gob.ec/ y http://www.vicepresidencia.gob.ec/
Vale la pena publicar el parche rápido para todos estos sitios: http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html
Estoy de acuerdo con tu punto de vista. Esto no solo es cuestion de comprar tecnologia de punta y ponerlo en funcionamiento, sino de establecer polìticas y normas de seguridad a nivel gubernamental con profesionales altamente entrenados y deliberantes, que no se conviertan en adulones del Jefe, cosa que da làstima porque eso ocurre en la mayorìa de instituciones pùblicas.
Alfonso
Muy interesante el articulo.
Me parece que http://www.gualaquiza.gob.ec también esta en joomla 1.5.x
Viéndolo en retrospectiva… ¿el primero de esos aguantó, no?
totalmente de acuerdo y gracias por el aporte ..
pero siempre debemos tomar en cuante que el problemas prencipal no es el JOOMLA o la version de Joomla.
ya que joomla ( sistema de gestión de contenidos ) mas seguro,estable.. y libre ..
ya que los hacker lo hacen de una y otra forma hacen una vulnerabilidad para plantar un nuevo index.php o index.html.
pero no decir que problema es de joomla..
Estos hechos evidencian que el tema de cuidar la seguridad en un sitio web es un cuento de nunca acabar. Las instituciones y sus directivos deben tener mayor compromiso y otorgar mayor seriedad a la administración de sus herramientas de comunicación digital, creando estructuras departamentales que NO únicamente se preocupen de alimentar los sitios web con contenidos frescos (Gestores de Contenidos), sino también contemplar igualmente la figura del responsable del mantenimiento técnico, operatividad y programación de sus sitios web institucionales: elwebmaster, garantizando de esta manera la seguridad, integridad y disponibilidad de estos canales de comunicación/marketing digital.Considero que cuando no se toman estas decisiones se dan por tres razones fundamentales: ignorancia, no estar prestos a escuchar recomendaciones y descuido. Los invito a leer «Los 10 mandamientos para ser hackeado» 10 interesantes recomendaciones «irónicas» sobre qué es lo que se debe hacer para que tu sitio web sea hackeado en mi Blog: http://ow.ly/64C1U