Joomla Dính Lỗ Hổng Nghiêm Trọng: Tải Tệp Tùy Ý, Tấn Công Thực Tế

Joomla Dính Lỗ Hổng Nghiêm Trọng: Tải Tệp Tùy Ý, Tấn Công Thực Tế

Cơ quan An ninh Mại và Cơ sở hạ tầng (CISA) đã bổ sung hai lỗ hổng nghiêm trọng trong các tiện ích mở rộng Joomla vào Danh mục các lỗ hổng đã biết bị khai thác (KEV). Các lỗ hổng này cho phép tải lên tệp không giới hạn, một điểm yếu có thể bị kẻ tấn công lạm dụng để tải lên các tệp độc hại và có khả năng chiếm quyền điều khiển các trang web bị ảnh hưởng.

Tổng quan về các lỗ hổng Joomla

Hai tiện ích mở rộng bị ảnh hưởng là iCagendaBalbooa Forms. iCagenda thường được sử dụng cho việc quản lý sự kiện, trong khi Balbooa Forms hỗ trợ tạo các biểu mẫu trên web. CISA đã chỉ ra rằng có bằng chứng cho thấy kẻ tấn công đang tích cực khai thác cả hai vấn đề bảo mật này trong các cuộc tấn công thực tế.

Chi tiết lỗ hổng iCagenda

Lỗ hổng đầu tiên, được theo dõi với mã định danh CVE-2026-48939, ảnh hưởng đến tiện ích mở rộng iCagenda. Nó được phân loại là một lỗ hổng cho phép tải lên tệp không giới hạn với kiểu tệp nguy hiểm. Tùy thuộc vào cấu hình hệ thống bị ảnh hưởng, kẻ tấn công không cần xác thực hoặc có đặc quyền thấp có thể tải lên các tệp mà máy chủ web có thể thực thi.

Chi tiết lỗ hổng Balbooa Forms

Lỗ hổng thứ hai, được định danh là CVE-2026-56291, ảnh hưởng đến tiện ích mở rộng Balbooa Forms. Tương tự như lỗ hổng iCagenda, nó liên quan đến việc cho phép tải lên các loại tệp nguy hiểm mà không có sự kiểm soát. Việc khai thác lỗ hổng này có thể cho phép kẻ tấn công chèn các web shell hoặc các tập lệnh độc hại khác lên máy chủ Joomla.

Tác động của việc khai thác lỗ hổng

Việc tải thành công web shell lên máy chủ bị xâm nhập cung cấp cho kẻ tấn công khả năng truy cập từ xa. Từ đó, họ có thể thực hiện nhiều hành động nguy hiểm, bao gồm:

  • Thực thi lệnh tùy ý trên máy chủ.
  • Đánh cắp dữ liệu nhạy cảm của trang web.
  • Tạo các tài khoản quản trị viên mới.
  • Chỉnh sửa nội dung trang web.
  • Sử dụng máy chủ bị xâm nhập làm cơ sở hạ tầng cho các cuộc tấn công khác.
  • Phân phối mã độc.

CISA nhấn mạnh rằng các lỗ hổng cho phép tải tệp lên vẫn là một điểm xâm nhập phổ biến cho các tác nhân đe dọa mạng. Các trang web Joomla có khả năng truy cập công khai đối mặt với rủi ro cao hơn do kẻ tấn công có thể quét tìm kiếm các tiện ích mở rộng dễ bị tổn thương và tự động hóa các nỗ lực khai thác.

Yêu cầu hành động và Khuyến nghị

Theo Chỉ thị Hoạt động Ràng buộc (BOD) 26-04 của CISA, các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang Hoa Kỳ phải xử lý các lỗ hổng này. CISA yêu cầu các cơ quan ưu tiên vá các lỗ hổng được liệt kê trong KEV, đặc biệt là những lỗ hổng ảnh hưởng đến các hệ thống hướng ra Internet có khả năng dẫn đến việc chiếm quyền kiểm soát toàn bộ hệ thống nếu bị khai thác.

Mặc dù BOD chỉ áp dụng cho các cơ quan liên bang, CISA khuyến nghị mạnh mẽ các tổ chức khu vực tư nhân, các cơ sở giáo dục và quản trị viên trang web Joomla áp dụng cách tiếp cận dựa trên rủi ro tương tự. Các quản trị viên nên ngay lập tức kiểm tra xem môi trường Joomla của họ có đang sử dụng iCagenda hoặc Balbooa Forms hay không.

Các biện pháp khắc phục và giảm thiểu

Các tổ chức nên áp dụng các bản cập nhật bảo mật do nhà cung cấp cung cấp hoặc tuân theo các hướng dẫn giảm thiểu khi có sẵn. Nếu không thể cài đặt bản vá ngay lập tức, các biện pháp sau đây nên được xem xét:

  • Tắt các thành phần dễ bị tổn thương.
  • Hạn chế chức năng tải tệp lên.
  • Giới hạn quyền truy cập công khai vào các hệ thống bị ảnh hưởng.

Đội ngũ an ninh nên tiến hành điều tra các dấu hiệu xâm nhập trước và sau khi thực hiện khắc phục. Các chỉ số hữu ích có thể bao gồm:

  • Các tệp không xác định trong các thư mục có thể truy cập qua web.
  • Sự xuất hiện của các tệp PHP hoặc các tập lệnh bất thường khác.
  • Các tài khoản quản trị viên đáng ngờ.
  • Các mẫu Joomla bị thay đổi.
  • Lưu lượng mạng ra ngoài không mong muốn.
  • Nhật ký máy chủ web có dấu hiệu bất thường.

Các bước sau khi khắc phục

Do việc khai thác đã được quan sát, việc chỉ đơn thuần áp dụng bản cập nhật có thể không loại bỏ được kẻ tấn công đã có quyền truy cập trước đó. Do đó, các tổ chức cần thực hiện các bước bổ sung để đảm bảo an toàn hệ thống:

  • Xem xét kỹ lưỡng nhật ký hệ thống.
  • Quét tìm kiếm các web shell.
  • Thay đổi (xoay vòng) thông tin đăng nhập quản trị.
  • Khôi phục các hệ thống bị ảnh hưởng từ các bản sao lưu đã biết là sạch khi xác nhận có sự xâm nhập.

Các lỗ hổng zero-day hoặc các lỗ hổng đã bị khai thác tích cực đòi hỏi sự phản ứng nhanh chóng và toàn diện. Việc cập nhật bản vá và thực hiện các biện pháp phòng ngừa bổ sung là cần thiết để bảo vệ hệ thống khỏi các mối đe dọa mạng.

Tham khảo thêm thông tin về các lỗ hổng được biết là đã bị khai thác tại CISA KEV Catalog.