Seguridad

Joomla corrige una grave vulnerabilidad en su plataforma

Joomla

La vulnerabilidad afecta a la práctica totalidad de las versiones de Joomla, desde la 1.5 a 3.4.5, por lo que es clave la actualización urgente de todos los CMS a la última edición.

Joomla es uno de los gestores de contenido (CMS) más populares en Internet, al mismo nivel del omnipotente WordPress, empleado por importantes portales y empresas de medio mundo, como la mismísima eBay o Peugeot. Sin embargo, hoy hemos conocido que esta extendida plataforma ha sufrido una importante vulnerabilidad que compromete la seguridad de todos los sites creados con Joomla.

En concreto, se trata de un fallo que ha sido ya aprovechado de forma masiva por los hackers durante los últimos dos días. El error se encuentra en la cadena de agente de usuario, que regula la información transmitida desde un servidor web cuando un usuario visita el site que aloja. Esta cadena incluye determinada información esencial, como el tipo y versión del navegador o el sistema operativo del PC, permitiendo así que la página se muestre de manera correcta y se adapte a distintos formatos, resoluciones o dispositivos (como las diferentes webs de escritorio o móvil).

Esos valores de sesión quedan almacenados en una base de datos del servidor, que filtra previamente los datos para evitar información no deseada. Sin embargo, este filtrado presenta un fallo grave que permite la ejecución remota de código. Ello significa que los hackers pueden plantar determinadas líneas de código en la web que infecten a todos los usuarios que visiten esa web o redirigirlos hacia otros sites donde alberguen sus ejecutables maliciosos.

cyber-attack-hacker

La vulnerabilidad afecta a la práctica totalidad de las versiones de Joomla, desde la 1.5 a 3.4.5, por lo que es clave la actualización urgente de todos los CMS a la última edición (3.4.6, disponible en este enlace) para evitar así estar expuesto a este tipo de vulnerabilidades. Recordemos que Joomla 1.5 fue lanzado hace ya ocho años, con lo que el espacio de tiempo en el que los sitios web han estado desprotegidos ha sido muy considerable.

Cómo saber si hemos sido atacados

Para saber si una determinada web se ha podido ver comprometida, el webmaster puede comprobar en el registro de su página las direcciones IP 146.0.72.83, 74.3.170.33 o 194.28.174.106. Según informa el blog de seguridad Sucuri, también deben buscarse anomalías en los eventos que usan el proceso “JDatabaseDriverMysqli” y “O” en el agente de usuario. Los sistemas que den positivo para cualquiera de las cadenas deben presumirse como comprometidos y se someterse a un análisis a fondo.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.