Vzhledem k tomu, že v uplynulých dnech došlo k napadení serveru, kde je umístěn Joomla! Extensions Directory (JED), bychom chtěli objasnit celou řadu událostí, které k tomu vedly, jak to projektový tým Joomla! řešil a plán, jak něčemu podobnému v budoucnosti zabránit.
Souhrnně lze říci, že šlo o napadení, kterému šlo předejít a po analýze nemáme důvod se domnívat, že by došlo ke zneužití jakýchkoliv uživatelských dat.
K čemu vlastně došlo?
Dne 15. května přibližně v 9:30 UTC upozornil bezpečnostní specialista zásahový tým Joomla!, že zjistil, že JED použil interní server Jenkins CI k nasazení aktualizací na jejich produkční a testovací stránky a byli schopni využít CVE-2018-1000861 na serveru, k čemuž poskytl screenshot citlivého souboru jako důkaz narušení.
Po tomto upozornění členové zásahového týmu ve spolupráci s týmem JED odpojili dotčený systém Jenkins od internetu a provedli analýzu, zda byl server nějak napaden.
Audit systému
Během vyšetřování napadení serveru Jenkins bylo zjištěno, že došlo k instalaci crypto-mineru - softwaru na těžení kryptoměn, což způsobuje vytížení CPU a paměti serveru. Domníváme se tedy, že útočníci necílili na data na serveru, a šlo jim čistě o využití kapacity serveru k těžení kryptoměn.
Součástí tohoto softwaru byl skript přidaný do CRONU, který se měl pokoušet připojovat k dalším serverům na lokální síti a instalovat ten samý crypto-miner.
Vzhledem k tomu, že server Jenkins se využívá pro aktualizace stránek, měl tento skript přístup i k JED a nainstaloval se tam. Jakmile bylo toto zjištěno, byly okamžitě podniknuty kroky k tomu, aby došlo k odpojení všech dotčených serverů, a posléze byla provedena analýza i na nich. Zároveň proběhl audit i dalších Joomla serverů, ale ukázalo se, že napaden byl pouze server s JED.
Zjistilo se, že crypto-miner byl nainstalován večer 11. května 2019 a nepotvrdilo se žádné neoprávněné nakládání s daty, včetně přístupu k instalačním balíčkům, které jsou odesílány na JED.
Postižený server byl nahrazen náhradním serverem obsahujícím zálohu z 10. května a databázi z 15. května 2019. Proces obnovy byl dokončen 16. května a JED tým znovu aplikoval aktivity uživatelů uskutečněné mezi datem zálohy a časem, kdy byo narušení zjištěno.
Co bude dál?
Jako následek napadení serveru byly přijaty kroky k zajištění vyššího zabezpečení našich serverů a dat uživatelů. Více zde >>
Co z toho vyplývá pro uživatele JED?
Pokud máte účet na Joomla! Extensions Directory, budete při příštím přihlášení vyzváni ke změně hesla. Vzhledem k tomu, že hesla nejsou sdílena napříč subdoménami, bude se toto opatření týkat jen přihlašování do JED. Nicméně doporučujeme změnit si heslo i na dalších subdoménách Joomla.org. Hesla v Joomla! jsou ukládána zašifrovaná bcrypt hashem a nelze je snadno uhodnout nebo prolomit.
Instalační balíčky rozšíření nejsou uloženy na serveru JED, a tak nebyly tímto napadením nijak poznamenány.
Vaše instalace Joomla! nebyla nijak napadena, protože šlo o prolomení software na serverech JED, ne v Joomle samotné. Nedomníváme se, že by došlo ke ztrátě dat, ale doporučujeme uživatelům, aby si překontrolovali své účty, zejména pokud jde o přidávání instalačních balíčků rozšíření do databáze rozšíření Joomla!, hodnocení a tickety pro podporu.
Zpráva o napadení serveru JED (Joomla! extensions directory)