Be crois que Acymailing est en train de louper sa communication.
100% des utilisateurs acymailing avec qui j'ai échangé sont hackés...

Et même pas une newsletter de Acymailing depuis le 16 août... (pourtant en théorie ils savent envoyer une newsletter...).

Entièrement d'accord...

2 failles annoncées le 8 aout par mail....

Le 15 aout, pas de mail mais une nouvelle mise à jour corrigeant une autre faille et un article un peu plus détaillé sur leur blog (mais toujours en anglais).

L'article décrit que le problème majeur a été corrigé en travaillant avec l'équipe de sécurité de Joomla.
Il indique également les repertoires à examiner...

Etes-vous impacté ?

Une fois que vous avez mis à jour AcyMailing vers sa dernière version, nous vous invitons à rechercher les fichiers nommés thumbnail_*.php (c'est-à-dire thumbnail_999.png?.php) sur vos sites Web. Les modèles d'attaque courants ont écrit ces fichiers dans media/com_acym/images/thumbnails, mais ces fichiers auraient pu être créés dans d'autres dossiers.
Si vous rencontrez un fichier portant un nom similaire, ne l'ouvrez pas et utilisez FTP ou SSH pour le supprimer.

Les emplacements les plus courants (XXX sont des lettres aléatoires – la date de ces fichiers peut être antérieure à mai) peuvent être :

Recherchez les fichiers contenant « $_COOKIE », car des modèles d'attaque courants l'ont utilisé pour tenter d'obtenir les valeurs des cookies.
Si vous trouvez des fichiers malveillants, il peut être judicieux de mettre à jour les mots de passe de vos comptes FTP, DB et SMTP.​

L'article termine par "Notre engagement en matière de sécurité : Soyez assuré que votre sécurité et la fiabilité d'AcyMailing constituent notre engagement inébranlable. Nous vous encourageons à rester vigilant en mettant constamment à jour votre installation AcyMailing avec les dernières avancées et fonctionnalités de sécurité.​ "

Bref, c'est quelque chose que vous ne prêtez pas forcément attention... surtout pendant les vacances ! sachant que la découverte date de plusieurs mois.

Personnellement, j'ai bien eu des tentatives mais les outils et services installés sur mon serveur ont parfaitement réagi en bloquant les fichiers contenant du code malveillant et les ip des hackers donc pas d'écriture mais des indications dans les logs.

Comme indiqué par Helloo , le hack date de plusieurs mois mais ne sera corrigé en réalité qu'après discussion avec l'équipe de joomla.org (voir le changelog des différentes releases).

Bonjour,

En marge de cette question qui a priori ne me touche pas car je n'utilise pas Acymailing, mais j'ai eu ces temps-ci à faire des migrations de sites l'utilisant en version 5 starter. Après passage en version 8 avant la migration, je suis très perturbé par leur système de mise à jour.
On ne passe pas par le système de mise à jour standard, mais soit par l'installation depuis le web, soit depuis leur bouton d'alerte qui, une fois cliqué, envoie vers leur site et demande une identification pour pouvoir charger le pack (même starter manifestement) puis l'installer par envoi du fichier : pas simple, à moins que je sois passé à côté d'un paramétrage.

Pour info, le CVE a été publié le 17 août 2023



La référence est : CVE-2023-39970 avec un score cvss de 9.8 sur 10, cela indique la dangerosité de la vulnérabilité permettant de l'execution du code à distance.

Source : https://nvd.nist.gov/vuln/detail/CVE-2023-39970

La faille concerne les versions 6.7 à 8.5 d'acymailing.

Il est donc crucial de mettre à jour avec la dernière version. Si vous ne pouvez pas mettre à jour, nous vous conseillons de désinstaller l'extension (et non de simplement désactiver).

N'oubliez pas d'effectuer les sauvegardes nécessaires et de suivre les recommandation précédentes indiquant les répertoires infectés.

Si vous avez des fichiers malveillants, il est important de procéder au nettoyage après avoir installé la mise à jour, de changer vos mots de passe ( joomla, ftp, etc..). Si vous avez un site e-commerce avec des informations mails, comptes, etc... Vous devez informer vos membres de la situation et forcer le changement de mot de passe à la connexion car si l'incident constitue un risque élevé pour la vie privée des personnes concernées, vous devez également notifier l'incident aux personnes concernées.

De plus, pour les français, il faudra suivre la réglementation de la CNIL : Vous avez mis en œuvre un traitement de données personnelles. Ces données ont fait l'objet d'une violation : perte de disponibilité, d'intégrité ou de confidentialité, de manière accidentelle ou illicite. Cet incident constitue un risque au regard de la vie privée des personnes concernées. Vous devez le notifier à la CNIL dans les meilleurs délais, au plus tard dans les 72 heures.

Le risque est important car il s'étend sur plusieurs mois.​

Bonjour Robert,

Leur changement de politique de licence a du toucher également le code de la version starter.

Pour les version commerciales, je suppose également que certains utilisateurs ont souhaité ne pas mettre à jour pour conserver l'usage de toutes les fonctions mais avec les failles de sécurité successives, leur clients n'auront pas d'autre choix que de payer ou changer de solution.

Merci pour ce complément d'infos !

Je viens de vérifier un site que j'avais migré au printemps : touché ! Un autre migré très récemment, apparemment indemne.
La difficulté va être le nettoyage !

Aïe ! le site touché l'était déjà avant que je le récupère pour migration !

Bonjour,

Juste pour info, cette faille date : j'avais fait le nettoyage des fichiers cités sur un site début mai.

Ne sachant pas d'où cela venait, j'ai installé quelques blocages et on a modifié tous les mots de passe (FTP/base de données, ....).

Le problème est qu'il y a toutes les "chances" que l'intrus ait déjà pompé pas mal d'informations, telles que les mails des clients/des utilisateurs. Mais aussi, qu'il ait mis quelques portes cachés.

Pascal

Bonjour,

Je n'ai pas trouvé autre chose que ce que @daneel a cité (site déjà touché le 25 mai), en utilisant un script à la recherche des thumbnail_ (certains sont licites, d'autres pas) et en vérifiant avec notepad++ ceux contenant $_COOKIE qui sont des xxx.php dans les dossiers déjà cités.
Je n'ai aucune idée de ce que faire le code de ces fichiers.

j'envisage l'import des données dans un site vierge, avec JMigrator dont j'ai l'habitude.
Le site n'a que deux super utilisateurs et un seul enregistré, les mots de passe ftp et base ont été changés,

Bonjour,

Au niveau de ce que font les xxx.php, impossible à savoir car ils se basent sur le contenu d'un cookie, cookie généré par le hackeur sur son poste.

En fait, ils chargent un fichier via un include dont on ne peut pas trouver le nom. Peut-être en cherchant dans les logs ?

Pascal

Effectivement, ce sont les infos que partage l'éditeur du gestionnaire de newsletter sur son blog.

Pour info, on communique également sur le portail :


et on vous encourage à vérifier et prévenir sur vos réseaux sociaux.

L'équipe de sécurité de Joomla communique également sur fb et x (anciennement twitter)




Précision importante : Apparemment, les alertes de mises à jour des versions starter ne sont plus actifs donc il y a un risque d'utilisation d'une ancienne version sans que l'éditeur ne vous informe de la mise à jour nécessaire. Prenez le temps de vérifier tous vos sites. Merci !

Bonjour
Merci pour cette info primordiale. Etonné aussi de la non-communication de la part de l'éditeur !!
j'ai mis à jour plusieurs sites.
je vois des fichiers non php mais de type "thumbnail_0.php.png" et la plupart ne sont pas visible avec le visualiseur d'images
Est-ce possible que des scripts puissent le renomment en .php ?

Ben c'est pas des images (c'est pour ça que tu ne peux pas prévisualiser) : ce sont bien des fichiers PHP qui permettent au hacker de prendre le contrôle et d'uploader d'autres fichiers...
Donc à effacer de toute urgence (ainsi que les autres fichiers ajoutés éventuellement dans la foulée, cfr l'explication sur leur blog)

je les ai supprimé et j'ai posté un message d'étonnement et de demande d'un script pour nettoyer automatiquement si c'est dans de nombreux répertoires : https://forum.acymailing.com/d/5720-...-vulnerability​

J'ai effectivement trouvé 2 fichiers thumbnail_99.php.png et thumbnail_199.php.png, qui ne sont de fait pas des images mais des fichiers PHP dissimulés par des suffixes .png.
Ce que je ne comprends pas, c'est comment on peut lancer le script à l'intérieur tant qu'il s'agit d'un fichier "image".