AcyMailing avait une faille de sécurité importante de la version 6.7.0 à la version 8.5.0, qui permettait l'exécution de code. La faille a été signalée en février, puis corrigée en mars, mais la faille a continué à être exploitée.
AcyMailing Securité
Réduire
X
-
Be crois que Acymailing est en train de louper sa communication.
100% des utilisateurs acymailing avec qui j'ai échangé sont hackés...
Et même pas une newsletter de Acymailing depuis le 16 août... (pourtant en théorie ils savent envoyer une newsletter...).Présentations : slides.woluweb.be | Coordonnées complètes : www.woluweb.be
Un message d’erreur sur votre site Joomla... ayez le reflexe de consulter la base de connaissance : https://kb.joomla.fr
Ce forum, vous l'aimez ? Il vous a sauvé la vie ? Vous y apprenez régulièrement ? Alors adhérer à l'AFUJ, l'Association Francophone des Utilisateurs de Joomla : https://www.joomla.fr/association/adherer
- "J'aime" 3
-
Entièrement d'accord...
2 failles annoncées le 8 aout par mail....
Le 15 aout, pas de mail mais une nouvelle mise à jour corrigeant une autre faille et un article un peu plus détaillé sur leur blog (mais toujours en anglais).
L'article décrit que le problème majeur a été corrigé en travaillant avec l'équipe de sécurité de Joomla.
Il indique également les repertoires à examiner...
Etes-vous impacté ?
Une fois que vous avez mis à jour AcyMailing vers sa dernière version, nous vous invitons à rechercher les fichiers nommés thumbnail_*.php (c'est-à-dire thumbnail_999.png?.php) sur vos sites Web. Les modèles d'attaque courants ont écrit ces fichiers dans media/com_acym/images/thumbnails, mais ces fichiers auraient pu être créés dans d'autres dossiers.
Si vous rencontrez un fichier portant un nom similaire, ne l'ouvrez pas et utilisez FTP ou SSH pour le supprimer.
Les emplacements les plus courants (XXX sont des lettres aléatoires – la date de ces fichiers peut être antérieure à mai) peuvent être :
Code:/media/com_acym/images/thumbnails/thumbnail_*.php /api/includes/xxx.php /components/com_ajax/ xxx.php /layouts/joomla/icon/xxx.php /media/com_XXX/xxx.php /media/com_tags/js/xxx.php /templates/system/xxx.php
Si vous trouvez des fichiers malveillants, il peut être judicieux de mettre à jour les mots de passe de vos comptes FTP, DB et SMTP.
L'article termine par "Notre engagement en matière de sécurité : Soyez assuré que votre sécurité et la fiabilité d'AcyMailing constituent notre engagement inébranlable. Nous vous encourageons à rester vigilant en mettant constamment à jour votre installation AcyMailing avec les dernières avancées et fonctionnalités de sécurité. "
Bref, c'est quelque chose que vous ne prêtez pas forcément attention... surtout pendant les vacances ! sachant que la découverte date de plusieurs mois.
Personnellement, j'ai bien eu des tentatives mais les outils et services installés sur mon serveur ont parfaitement réagi en bloquant les fichiers contenant du code malveillant et les ip des hackers donc pas d'écriture mais des indications dans les logs.
Comme indiqué par Helloo , le hack date de plusieurs mois mais ne sera corrigé en réalité qu'après discussion avec l'équipe de joomla.org (voir le changelog des différentes releases).
Dernière édition par daneel à 28/08/2023, 11h28alatak aime ceci.Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/
- "J'aime" 1
Commentaire
-
Bonjour,
En marge de cette question qui a priori ne me touche pas car je n'utilise pas Acymailing, mais j'ai eu ces temps-ci à faire des migrations de sites l'utilisant en version 5 starter. Après passage en version 8 avant la migration, je suis très perturbé par leur système de mise à jour.
On ne passe pas par le système de mise à jour standard, mais soit par l'installation depuis le web, soit depuis leur bouton d'alerte qui, une fois cliqué, envoie vers leur site et demande une identification pour pouvoir charger le pack (même starter manifestement) puis l'installer par envoi du fichier : pas simple, à moins que je sois passé à côté d'un paramétrage."Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH
Commentaire
-
Pour info, le CVE a été publié le 17 août 2023
La référence est : CVE-2023-39970 avec un score cvss de 9.8 sur 10, cela indique la dangerosité de la vulnérabilité permettant de l'execution du code à distance.
Source : https://nvd.nist.gov/vuln/detail/CVE-2023-39970
La faille concerne les versions 6.7 à 8.5 d'acymailing.
Il est donc crucial de mettre à jour avec la dernière version. Si vous ne pouvez pas mettre à jour, nous vous conseillons de désinstaller l'extension (et non de simplement désactiver).
N'oubliez pas d'effectuer les sauvegardes nécessaires et de suivre les recommandation précédentes indiquant les répertoires infectés.
Si vous avez des fichiers malveillants, il est important de procéder au nettoyage après avoir installé la mise à jour, de changer vos mots de passe ( joomla, ftp, etc..). Si vous avez un site e-commerce avec des informations mails, comptes, etc... Vous devez informer vos membres de la situation et forcer le changement de mot de passe à la connexion car si l'incident constitue un risque élevé pour la vie privée des personnes concernées, vous devez également notifier l'incident aux personnes concernées.
De plus, pour les français, il faudra suivre la réglementation de la CNIL : Vous avez mis en œuvre un traitement de données personnelles. Ces données ont fait l'objet d'une violation : perte de disponibilité, d'intégrité ou de confidentialité, de manière accidentelle ou illicite. Cet incident constitue un risque au regard de la vie privée des personnes concernées. Vous devez le notifier à la CNIL dans les meilleurs délais, au plus tard dans les 72 heures.
Le risque est important car il s'étend sur plusieurs mois.Helloo aime ceci.Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/
- "J'aime" 1
Commentaire
-
Envoyé par RobertG Voir le messageBonjour,
En marge de cette question qui a priori ne me touche pas car je n'utilise pas Acymailing, mais j'ai eu ces temps-ci à faire des migrations de sites l'utilisant en version 5 starter. Après passage en version 8 avant la migration, je suis très perturbé par leur système de mise à jour.
On ne passe pas par le système de mise à jour standard, mais soit par l'installation depuis le web, soit depuis leur bouton d'alerte qui, une fois cliqué, envoie vers leur site et demande une identification pour pouvoir charger le pack (même starter manifestement) puis l'installer par envoi du fichier : pas simple, à moins que je sois passé à côté d'un paramétrage.
Leur changement de politique de licence a du toucher également le code de la version starter.
Pour les version commerciales, je suppose également que certains utilisateurs ont souhaité ne pas mettre à jour pour conserver l'usage de toutes les fonctions mais avec les failles de sécurité successives, leur clients n'auront pas d'autre choix que de payer ou changer de solution.Dernière édition par daneel à 26/08/2023, 08h35Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/
Commentaire
-
Merci pour ce complément d'infos !
Je viens de vérifier un site que j'avais migré au printemps : touché ! Un autre migré très récemment, apparemment indemne.
La difficulté va être le nettoyage !
Aïe ! le site touché l'était déjà avant que je le récupère pour migration !Dernière édition par RobertG à 26/08/2023, 08h55"Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH
Commentaire
-
Bonjour,
Juste pour info, cette faille date : j'avais fait le nettoyage des fichiers cités sur un site début mai.
Ne sachant pas d'où cela venait, j'ai installé quelques blocages et on a modifié tous les mots de passe (FTP/base de données, ....).
Le problème est qu'il y a toutes les "chances" que l'intrus ait déjà pompé pas mal d'informations, telles que les mails des clients/des utilisateurs. Mais aussi, qu'il ait mis quelques portes cachés.
PascalIf anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com
Commentaire
-
Bonjour,
Je n'ai pas trouvé autre chose que ce que @daneel a cité (site déjà touché le 25 mai), en utilisant un script à la recherche des thumbnail_ (certains sont licites, d'autres pas) et en vérifiant avec notepad++ ceux contenant $_COOKIE qui sont des xxx.php dans les dossiers déjà cités.
Je n'ai aucune idée de ce que faire le code de ces fichiers.
j'envisage l'import des données dans un site vierge, avec JMigrator dont j'ai l'habitude.
Le site n'a que deux super utilisateurs et un seul enregistré, les mots de passe ftp et base ont été changés,"Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr chez PHPNET, sites perso chez PlanetHoster + sites gérés chez PHPNET, PlanetHoster, Ionos et OVH
Commentaire
-
Bonjour,
Au niveau de ce que font les xxx.php, impossible à savoir car ils se basent sur le contenu d'un cookie, cookie généré par le hackeur sur son poste.
En fait, ils chargent un fichier via un include dont on ne peut pas trouver le nom. Peut-être en cherchant dans les logs ?
PascalDernière édition par pmleconte à 28/08/2023, 10h03If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com
Commentaire
-
Effectivement, ce sont les infos que partage l'éditeur du gestionnaire de newsletter sur son blog.
Pour info, on communique également sur le portail :
Habituellement, nous ne faisons aucun relais des informations sur les extensions tierces mais quand il s'agit de sécurité, cela devient une priorité.Information importante : Si vous utilisez ...
et on vous encourage à vérifier et prévenir sur vos réseaux sociaux.
L'équipe de sécurité de Joomla communique également sur fb et x (anciennement twitter)
Important information. If you're using AcyMailing on your Joomla website, a crucial security update has been released. Ensure your site's safety by...
Précision importante : Apparemment, les alertes de mises à jour des versions starter ne sont plus actifs donc il y a un risque d'utilisation d'une ancienne version sans que l'éditeur ne vous informe de la mise à jour nécessaire. Prenez le temps de vérifier tous vos sites. Merci !
Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/
- "J'aime" 2
Commentaire
-
Bonjour
Merci pour cette info primordiale. Etonné aussi de la non-communication de la part de l'éditeur !!
j'ai mis à jour plusieurs sites.
je vois des fichiers non php mais de type "thumbnail_0.php.png" et la plupart ne sont pas visible avec le visualiseur d'images
Est-ce possible que des scripts puissent le renomment en .php ?Dernière édition par herve à 28/08/2023, 17h32Faciliter l'adoption du meilleur du Libre auprès du grand public https://clibre.eu/ - Connaissez-vous des communicants ... pour promouvoir joomla ? https://forum.joomla.fr/forum/th%C3%...mouvoir-joomla
Commentaire
-
Envoyé par herve Voir le messageBonjour
Merci pour cette info primordiale. Etonné aussi de la non-communication de la part de l'éditeur !!
j'ai mis à jour plusieurs sites.
je vois des fichiers non php mais de type "thumbnail_0.php.png" et la plupart ne sont pas visible avec le visualiseur d'images
Est-ce possible que des scripts puissent le renomment en .php
Donc à effacer de toute urgence (ainsi que les autres fichiers ajoutés éventuellement dans la foulée, cfr l'explication sur leur blog)Présentations : slides.woluweb.be | Coordonnées complètes : www.woluweb.be
Un message d’erreur sur votre site Joomla... ayez le reflexe de consulter la base de connaissance : https://kb.joomla.fr
Ce forum, vous l'aimez ? Il vous a sauvé la vie ? Vous y apprenez régulièrement ? Alors adhérer à l'AFUJ, l'Association Francophone des Utilisateurs de Joomla : https://www.joomla.fr/association/adherer
- "J'aime" 1
Commentaire
-
je les ai supprimé et j'ai posté un message d'étonnement et de demande d'un script pour nettoyer automatiquement si c'est dans de nombreux répertoires : https://forum.acymailing.com/d/5720-...-vulnerabilityFaciliter l'adoption du meilleur du Libre auprès du grand public https://clibre.eu/ - Connaissez-vous des communicants ... pour promouvoir joomla ? https://forum.joomla.fr/forum/th%C3%...mouvoir-joomla
Commentaire
-
J'ai effectivement trouvé 2 fichiers thumbnail_99.php.png et thumbnail_199.php.png, qui ne sont de fait pas des images mais des fichiers PHP dissimulés par des suffixes .png.
Ce que je ne comprends pas, c'est comment on peut lancer le script à l'intérieur tant qu'il s'agit d'un fichier "image".Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
Administrateur certifié Joomla! 3
https://www.betterweb.fr
Commentaire
Annonce
Réduire
Aucune annonce pour le moment.
Commentaire