Novarain/Tassosフレームワークを搭載した拡張機能を実行しているJoomlaサイトは、新たに公開された脆弱性から深刻なリスクに直面しています。独立研究者p1r0xがSSD Secure Disclosureを通じて、SQLインジェクションと認証なしのファイル読み取りを可能にする脆弱性を発見しました。
攻撃者はこれらの問題を組み合わせて、修正されていないシステムにおいて管理者乗っ取りとリモートコード実行を実現できます。
影響を受ける拡張機能にはConvert Forms、EngageBox、Google Structured Data、Advanced Custom Fields、Smile Packが含まれており、いずれもplg_system_nrframeworkプラグイン(以前のNovarain Framework、現在はTassos Frameworkに改名)に依存しています。
問題はフレームワークの脆弱なAJAX処理に由来しています。欠陥のある「include」タスクにより、攻撃者はJoomlaルートから任意のファイルまたはクラスをロードし、onAjaxハンドラーをトリガーできます。
これにより3つの主要な攻撃手段が露呈します。1つ目に、不適切なCSV処理はファイルタイプチェックをスキップし、Webユーザーがアクセス可能なローカルファイルの認証なしの読み取りを可能にします。
2つ目に、「remove」アクションは認証なしにunlink()を直接呼び出し、.htpasswdファイルなどの防御メカニズムを削除できるファイル削除を許可します。
3つ目に、アイテム取得のデータベースクエリはサニタイズされていないパラメータを使用し、データベースユーザーの権限に基づいてテーブルとカラムをダンプするためのSQLインジェクションへの扉を開いています。
チェーン攻撃はSQLインジェクションで管理者セッションデータまたは認証情報を盗むことから始まります。その後、攻撃者は管理者として認証し、悪意のある拡張機能をアップロードしたり、RCEのためにテンプレートにコードをインジェクトしたりできます。
ファイル削除はサイトを不安定化させることでさらなる混乱をもたらします。これらの脆弱性により、特に拡張機能がプラグイン内のダウンロードキーを使用してベンダーのダウンロードセクション経由で更新されるため、インターネット上に公開されているJoomlaインスタンスは主要な標的になります。
CVEはまだ割り当てられていませんが、これらの問題は緊急の対応を必要とします。
脆弱なバージョン範囲はNovarain/Tassos Framework v4.10.14~v6.0.37、Convert Forms v3.2.12~v5.1.0、EngageBox v6.0.0~v7.1.0、Google Structured Data v5.1.7~v6.1.0、Advanced Custom Fields v2.2.0~v3.1.0、Smile Pack v1.0.0~v2.1.0です。
サイト所有者は直ちにパッチを適用する必要があります。パッチの適用が遅延する場合は、影響を受ける拡張機能またはnrframeworkプラグインを無効化してください。
Webサーバーまたはワイアプリケーションファイアウォールで?option=com_ajaxエンドポイントをブロックしてください。ログを監視して疑わしいAJAX呼び出しがないか調べ、予期しないファイル変更などの侵害の兆候をスキャンしてください。
この開示は、Joomla製のサードパーティ拡張機能における継続的なリスクをハイライトしています。フレームワーク開発者はAJAXエンドポイントを強化し、入力を厳密に検証し、直接的なファイルシステム呼び出しを回避する必要があります。Joomlaユーザーは定期的に拡張機能を監査し、自動更新を優先させるべきです。
翻訳元: https://cyberpress.org/joomla-novarain-tassos-framework-flaws/