とある診断員によるJoomla!の脆弱性検証まとめ
Joomlaのヤツ確かにアホみたいに簡単にアカウント作れるんだけど、デフォルだと「New User Account Activation」の設定が「self」になっていて、その状態だと攻撃者が作成したアカウント有効化できないのは気のせいなのかな。
2016-10-28 12:59:27アクティベーションコード付きのリンクがメールで飛ぶんだけど403になって有効化できない。なので攻撃が成功するかどうかはJoomla側の設定に依存する気がする。
2016-10-28 13:02:22なんかそこら辺を迂回する方法あるのかな。それとも俺のやり方がまちがっているのかなあ。 まあNew User Account Activationが「None」だと作成したアカウントが即有効化しているので危険なことに変わりはないと思うんだけど。
2016-10-28 13:04:28うーん。まとめるとこんな感じかな。 まとめるとこんな感じかな。 Joomla のユーザ作成には2段階の制御があるっぽい。 (a) Allow User Registration (b) New User Account Activation
2016-10-28 14:56:32以上のうち、(a) は任意の外部ユーザにユーザ登録を許可するもの (b) は登録されたユーザ情報のデフォルトのアカウント状態を決めるもの
2016-10-28 14:56:52(a) はデフォルトで無効、(b) は Self に設定されている。 まず (a) が無効である場合はユーザ登録ができない。 (a) が有効であり (b) が Self である場合はユーザの元にメールが送信され、ユーザはメールの内容に従いユーザを有効化することでログインが可能
2016-10-28 14:57:12で脆弱性の話に戻るけど検証の結果、このデフォルトの状態で脆弱性を利用してアカウントを作成した場合に、アクティベーションコードのメールは、登録時のメールアドレスに宛てに飛ぶが、メールのリンクをクリックしても403が返ってきて、ユーザが有効化しない
2016-10-28 14:57:26もし、以下の状態であればメールのリンクをクリックすればアクティベーションできる。 (a) Allow User Registration:YES (b) New User Account Activation:Self
2016-10-28 14:57:39で、考えると問題になっている以下の二つの脆弱性についてですが CVE-2016-8870 ⇒不正にアカウント作成 CVE-2016-8869 ⇒権限昇格
2016-10-28 14:58:14CVE-2016-8870については、外部からアカウントを作成できないようにしているデフォルトの状態では事実上アカウントを有効化できないのでそこまで大したことはないんじゃと思っています。
2016-10-28 14:58:28まあ、(b) New User Account Activation:Noneだったら即有効化なのでヤバいですね。 あと、そもそも(a) Allow User Registration:YESだったら脆弱性つかわなくともアカウントを作れますしw
2016-10-28 14:58:43CVE-2016-8869の方は危険ですね。。。 (a) Allow User Registration:YESのアカウント作成できる環境であればAdministratorユーザをカジュアルに作成できるので、、、
2016-10-28 14:59:18もし、(b) New User Account Activation:Administratorとなっていれば管理者が承認しなければならないので、不正アカウントの作成に気づけるかもしれないっすね。
2016-10-28 14:59:34脆弱性自体危険なことには変わりないですが、当初はバージョンが低い全てのJoomlaが攻撃食らうとバシバシ管理者アカウント作られてWebSehll突っ込まれる悪夢が展開されるのかとか思っていたんですけど、
2016-10-28 15:00:14結構設定とかに依存するので、まあ当初の想定よりかはまだましなのかなというような認識かなあ。 まあ、そんなこと言っている前に良い子はちゃんとバージョンアップしましょう。
2016-10-28 15:00:51