Campagne d’attaque sur Joomla ! via faux site MSN analytics

– Date : 17 Octobre 2008

– Description :
Une attaque ciblée à l’encontre des applications Joomla ! vient d’être identifiée sur Internet. En effet, plusieurs administrateurs auraient découvert des balises "Iframes" au sein du code de leur page web Joomla !.

Les ’Iframes" en questions pointent vers trois sites différents :
– http://wsx2host.net/count.php?o=
– http://pinoc.org/exploits/x7b.php (non disponible actuellement)
– http://msn-analytics.net/count.php?o=2
Le dernier site dont le nom contient le mot "MSN" est hébergé sur un serveur basé à Hong-Kong. Les pirates utilisent un domaine non utilisé par Microsoft (typosquatting) afin que leur attaque soit la plus discrète possible.

Peu d’informations sont pour le moment disponibles. D’après nos recherches, il semblerait que la faille exploitée ne soit pas une vulnérabilité non corrigée "0-day".
Les pirates à l’origine de cette attaque exploiteraient une vulnérabilité déjà corrigée dans la version 1.5.7.

– Référence :
http://phil-secu.over-blog.net/

– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1224249188