Vulnerabilidade CMS Joomla na extensão: Autson Skitter Slideshow
Nos últimos dias percebemos uma quantidade considerável de chamados relacionados a alerta de malware em alguns websites e analisando o caso, não observamos evidências de ataques aos websites infectados e identificamos particularidades similares em todos os casos, estes estão utilizando o CMS Joomla e a extensão Autson Skitter Slideshow.
Nós buscamos uma cópia deste plugin para realizar uma análise e verificamos que esta extensão não está mais publicada no diretório de extensões do Joomla por estar sob investigação.
Observamos um website comprometido e não localizamos nenhuma possível backdoor na extensão em questão, entretanto, o arquivo infectado geralmente é o mesmo e tem a mesma data de alteração dos demais arquivos da extensão, o que nos leva a crer que o código malicioso tenha sido injetado ainda nos repositórios da extensão ou seus próprios desenvolvedores e ao instalá-la, o administrador esteja infectando o seu próprio website de forma despercebida, o fato da extensão ter sido desativada do diretório de downloads do Joomla amplia ainda mais a crença nesta hipótese.
Se você utiliza o CMS Joomla e a extensão Autson Skitter Slideshow, poderá verificar se o seu website está infectado analisando o arquivo modules/mod_AutsonSlideShow/tmpl/default.php buscando por uma função chamada dnnViewState() escrita em JavaScript.
Para os clientes que possuem acesso SSH podem executar o seguinte comando para realizar esta análise:
Comando SSH: find modules/mod_AutsonSlideShow -exec grep -i dnnviewstate {} -ls \;
O comando deve ser executado no diretório de instalação do seu Joomla.
Se você localizar esta função, recomendamos que a remova imediatamente ou desinstale a extensão em questão o mais rapidamente possível uma vez que este poderá estar colocando em risco a segurança dos seu site e seus visitantes.
