Il recente caso di intrusione nei server di Yahoo con furto di dati riguardanti 500 milioni di utenti ne è la prova. Anche la nota piattaforma di content management system Joomla è stata oggetto di un recente intervento dei suoi sviluppatori.
Gli stessi hanno rilasciato una patch di sicurezza (3.6.4) che sembra andare a coprire una serie di vulnerabilità abbastanza critiche riferite a Account Creation, Elevated Privileges e Account Modifications.
Scrive così, in data odierna, l’esperto Favio Natalucci su Tech Economy : “appena rilasciata la patch è stato possibile risalire, tramite le differenze di codice tra la precedente versione e quella appena rilasciata, quali erano i componenti del cms impattati. Questa operazione permette anche ad un eventuale attaccante di creare un exploit valido per sfruttare le vulnerabilità scoperte.
Secondo un articolo di Securi, una delle firme di sicurezza che si occupa di Web security, dopo appena 36 ore dal rilascio della patch, era già possibile verificare in rete attacchi che sfruttavano le vulnerabilità appena patchate.
La CVE-2016-8870 e la CVE-2016-8869 sono le vulnerabilità più critiche: la prima permette di creare un utente arbitrario sfruttando una classe utilizzata per rendere retrocompatibile il componente; la seconda consente di elevare i privilegi fino a diventare amministratore.
Combinati insieme permettono la compromissione totale della piattaforma.
Per verificare se il proprio sito è stato vittima di questo attacco è possibile cercare nei log del webserver questa stringa:
POST /index.php?option=com_users&task=user.register HTTP/1.1″
Tale stringa sta a significare che qualcuno ha tentato di creare un utente sul cms.
Se ancora non avete aggiornato alla nuova versione e nel vostro log ed è presente questa stringa nei log sarebbe utile andare a controllare eventuali utenti creati recentemente e verificarne la loro attendibilità.”
La percezione della sicurezza informatica, purtroppo, è ancora poco sentita dagli utenti sia per la complessità tecnica sia per la mancanza di una puntuale pubblicità della problematica.
Un’adeguata informazione e un preciso supporto da parte di esperti del settore rimangono delle indispensabili “armi” per proteggere quelle preziose informazioni personali che oramai tutti noi affidamo al web.
Se hai qualche domanda da fare su questo tema scrivimi pure. Sarà un piacere consigliarti al meglio. Oppure scrivi il tuo commento sul box qui sotto.
Leggi anche:
- Google annuncia i nuovi fattori di ranking: i Core Web Vitals
- UX Writing: l’importanza dei microtesti nella user experience
Articolo a cura di Nicola Albi
AEsse Communication
Scopri i Servizi di AEsse Communication:
- business blogging e testi professionali
- copywriting
- foto professionali
- siti web responsive e mobile friendly
- social media marketing
Servizi di Comunicazione digitale:
Nicola ☏ +39 349 8058 016