Vous avez sans doute remarqué dans votre messagerie une quantité de spams beaucoup plus importante que d'habitude ces derniers jours. En effet de nombreuses campagnes massives de spams ont été lancées, grâce à l'exploitation de deux failles critiques dans Joomla!

L'équipe de développement de Joomla! a alerté sur l'existence de ces failles le 25 octobre dernier et a bien sûr publié les correctifs dans la foulée.

Les deux failles, exploitées simultanément, permettent la création de comptes à privilèges sur les systèmes Joomla! Si de nombreux responsables de sites ont tardé à appliquer les correctifs, les cybercriminels n'ont eux pas tardé à examiner de très près la vulnérabilité, pour créer des exploits, explique Sucuri dans un billet de blog.

Des robots ont commencés à tâter le terrain pour recenser les sites Joomla! vulnérables, ce qui se manifeste de cette manière dans les logs.

Puis les robots ont activé les exploits en masse sur les sites vulnérables, pour y créer un utilisateur de nom db_cfg, de mot de passe fsugmze3

Le graphique ci-dessous, de Sucuri montre à quel point les attaque ont flambé, en quelques jours.

Tour cela montre à quel point il est important d'appliquer les correctifs de sécurité aussi rapidement que possible.

En l'état, appliquer les correctifs ne suffit pas à régler le problème sur des sites corrompus. Les webmasters doivent examiner à la loupe les utilisateurs récemment créés. De nom db_cfg bien sûr, mais pas uniquement car des variables des premiers exploits sont arrivés. Sucuri recommande aux webmasters de scruter leurs logs à la recherche du motif task=user.register afin de détecter d'éventuelles intrusions.