De Nederlandse overheid waarschuwt dat aanvallers actief websites hacken via het open source cms Joomla. Bedrijfssites én sites binnen de overheid zijn al gedefaced.

Het Nationaal Cyber Security Centrum waarschuwt voor een kwetsbaarheid in Joomla die nu actief wordt benut door kwaadwillenden. Het gaat om een gat in een oudere versie van de plugin JCE voor het open source cms (content management system) Joomla. Daarmee zijn defacements uit te voeren, maar ook meer kwaadaardig werk.
Defacements

Dit inbreken op Joomla-installaties gebeurt via de Joomla Content Editor (JCE). Die plug-in geeft kwaadwillenden in versies tot en met 2.0.11 de mogelijkheid om eigen content naar een website te uploaden. Het NCSC waarschuwt dat hierdoor "defacements tot de mogelijkheden behoren". Op internet is exploitcode beschikbaar om deze kwetsbaarheid uit te buiten, aldus de waarschuwing van het cybersecuritycentrum van het ministerie voor Veiligheid en Justitie.

"Er zijn gisteren een aantal defacements geweest van websites", vertelt NCSC-woordvoerster Mary-Jo van de Velde aan Webwereld. "Maar die zijn opgemerkt voordat het publiek het opmerkte." Het gaat om 'bekladdingen' van websites met content van de inbrekers bij zowel bedrijven als binnen de overheid, laat Van de Velde weten.
Meer malicieuse mogelijkheden

Die slachtoffers zijn "in diverse ordes van grootte", antwoordt zij op vragen van Webwereld. "In Nederland gaat om het uploaden van andere pagina's. Dus niet het uploaden van scripts en dergelijke." Dat behoort namelijk wel tot de mogelijkheden én is eind vorig jaar al gedaan, bij niet-Nederlandse websites dus buiten het blikveld van het NCSC.

De Nederlandse cybersecuritywaakhond heeft nu "actief misbruik gesignaleerd binnen het .nl top-level-domain. Overige bronnen berichten ook over misbruik binnen andere TLD's [toplevel domeinen - red.]", vermeldt het waarschuwingsbericht. Woordvoerster Van de Velde voegt toe: "Grootschalig misbruik is sinds gisteren waargenomen. Er is geen trend (in aantallen, tijdsintervallen e.d.) hierin waargenomen."
Sinds december, september

Begin december zijn er in het buitenland al massale website-inbraken gedetecteerd waarbij JCE-versie 2.0.11 en ouder is misbruikt. Daarbij zijn gehackte sites toen gebruikt om malware te serveren aan bezoekers. Het SANS Internet Storm Center kreeg toen ook meldingen. Voor deze kwetsbaarheid wordt sinds september 2012 al gewaarschuwd.

De kwetsbare JCE-versie kwam eind augustus 2011 uit en werd een dag later al gevolgd door maintenance-release 2.0.12. In september dat jaar is 2.0.13 uitgebracht. De huidige versie is 2.3.1. Die verscheen op 10 december jongstleden. Tussen het lekke 2.0.11 en de courante versie zitten maar liefst 37 releases, waarvan sommige relatief kleine updates zijn en andere grotere upgrades.
De plaag van plug-ins

Plug-ins plaagden Joomla, maar ook open source-concurrent Drupal, al eerder. In april 2011 bleek dat veel installaties van die cms'en onveilig zijn, vooral door verouderde en lekke plug-ins. "Een verbijsterend hoog percentage is kwetsbaar", stelde HP's securitydivisie TippingPoint in zijn jaarrapport over 2010. Dit komt vooral door de gebruikte toevoegingen voor Joomla en Drupa, niet zozeer door die kernsystemen zelf.

Joomla liep qua onveiligheid voorop: 90 procent van de installaties van dat content management systeem (cms) is onveilig. Drupal volgde met ruim 60 procent, terwijl Wordpress op minder dan 10 procent zat. Gemiddeld genomen kwam in 2010 zo'n 55 procent van de kwetsbaarheden in cms'en neer op een kwetsbaarheid in de gebruikte plug-ins. De overige 45 procent zat in de cms-software zelf. Voor Wordpress waren plug-ins goed voor 80 procent van de kwetsbaarheden, terwijl dat voor Joomla en Drupal maar liefst 95 procent was.
Verschuiving

Al die percentages zijn flink gestegen ten opzichte van de voorgaande jaren, aldus TippingPoint. De security-onderzoekers bespeurden toen al een flinke verschuiving van kwetsbaarheden naar plug-ins. Een mogelijke verklaring is de toegenomen waakzaamheid van de ontwikkelaars van de kernapplicaties, die eerder flink onder vuur hebben gelegen. Door betere beveiliging van die kernsoftware kan het percentage van de plug-ins voor de onveiligheid flink zijn vergroot.