とある診断員によるJoomla!の脆弱性検証まとめ

とある診断員 @tigerszk

Joomlaのヤツ確かにアホみたいに簡単にアカウント作れるんだけど、デフォルだと「New User Account Activation」の設定が「self」になっていて、その状態だと攻撃者が作成したアカウント有効化できないのは気のせいなのかな。

とある診断員 @tigerszk

アクティベーションコード付きのリンクがメールで飛ぶんだけど403になって有効化できない。なので攻撃が成功するかどうかはJoomla側の設定に依存する気がする。

とある診断員 @tigerszk

なんかそこら辺を迂回する方法あるのかな。それとも俺のやり方がまちがっているのかなあ。 まあNew User Account Activationが「None」だと作成したアカウントが即有効化しているので危険なことに変わりはないと思うんだけど。

とある診断員 @tigerszk

うーん。まとめるとこんな感じかな。 まとめるとこんな感じかな。 Joomla のユーザ作成には２段階の制御があるっぽい。 (a) Allow User Registration (b) New User Account Activation

とある診断員 @tigerszk

以上のうち、(a) は任意の外部ユーザにユーザ登録を許可するもの (b) は登録されたユーザ情報のデフォルトのアカウント状態を決めるもの

とある診断員 @tigerszk

(a) はデフォルトで無効、(b) は Self に設定されている。 まず (a) が無効である場合はユーザ登録ができない。 (a) が有効であり (b) が Self である場合はユーザの元にメールが送信され、ユーザはメールの内容に従いユーザを有効化することでログインが可能

とある診断員 @tigerszk

で脆弱性の話に戻るけど検証の結果、このデフォルトの状態で脆弱性を利用してアカウントを作成した場合に、アクティベーションコードのメールは、登録時のメールアドレスに宛てに飛ぶが、メールのリンクをクリックしても403が返ってきて、ユーザが有効化しない

とある診断員 @tigerszk

もし、以下の状態であればメールのリンクをクリックすればアクティベーションできる。 (a) Allow User Registration:YES (b) New User Account Activation:Self

とある診断員 @tigerszk

で、考えると問題になっている以下の二つの脆弱性についてですが CVE-2016-8870　⇒不正にアカウント作成 CVE-2016-8869　⇒権限昇格

とある診断員 @tigerszk

CVE-2016-8870については、外部からアカウントを作成できないようにしているデフォルトの状態では事実上アカウントを有効化できないのでそこまで大したことはないんじゃと思っています。

とある診断員 @tigerszk

まあ、(b) New User Account Activation:Noneだったら即有効化なのでヤバいですね。 あと、そもそも(a) Allow User Registration:YESだったら脆弱性つかわなくともアカウントを作れますしｗ

とある診断員 @tigerszk

CVE-2016-8869の方は危険ですね。。。 (a) Allow User Registration:YESのアカウント作成できる環境であればAdministratorユーザをカジュアルに作成できるので、、、

とある診断員 @tigerszk

もし、(b) New User Account Activation:Administratorとなっていれば管理者が承認しなければならないので、不正アカウントの作成に気づけるかもしれないっすね。

とある診断員 @tigerszk

脆弱性自体危険なことには変わりないですが、当初はバージョンが低い全てのJoomlaが攻撃食らうとバシバシ管理者アカウント作られてWebSehll突っ込まれる悪夢が展開されるのかとか思っていたんですけど、

とある診断員 @tigerszk

結構設定とかに依存するので、まあ当初の想定よりかはまだましなのかなというような認識かなあ。 まあ、そんなこと言っている前に良い子はちゃんとバージョンアップしましょう。