Check Point Research, team di ricerca di Check Point Software Technologies, ha scoperto una nuova campagna di attacchi verso JMail, il servizio e-mail di Joomla!
Il fatto non è secondario: ricordiamo che Joomla! è uno dei CMS più famosi e usati al mondo, con centinaia di migliaia di organizzazioni che lo hanno scelto. Anche in passato Joomla! è stato oggetto di attacchi che ne sfruttavano le vulnerabilità, come l’escalation dei privilegi del filtro per il cross-site scripting Joomla Core Sterilizer e l’esecuzione di comandi remoti di Joomla Object Injection.
In questo caso, il bersaglio è JMail, il servizio di posta di Joomla. In mancanza di sistemi di sicurezza appropriati, il servizio può essere manipolato facilmente per essere utilizzato per il phishing, lo spam o addirittura per implementare un’infrastruttura backdoor all’interno della piattaforma. Infatti, alterando l’intestazione User-Agent nelle richieste HTTP, un criminale può manipolare la piattaforma e sovrascrivere il servizio JMail esistente. Check Point Software Technologies segnala come l’attore della minaccia, Alarg53, è consapevole di questo e lo sta attualmente sfruttando per realizzare una campagna di spam davvero proficua. Secondo i ricercatori, Alarg53 non è nuovo in queste avventure. I dati dimostrano che Alarg53 è colpevole di ben 15.000 attacchi hacker, incluso quello che aveva coinvolto i server della Stanford University sfruttando una vulnerabilità di WordPress. In questa campagna, però, Alarg53 si è superato, includendo addirittura un’infrastruttura di backdoor e phishing significativa e su vasta scala.
