Malwarebytesは1月12日(米国時間)、「Joomla! vulnerability is being actively exploited|Malwarebytes」において、オープンソースのCMS(Content Management System)である「Joomla!」が米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)の脆弱性カタログに追加されたと報じた。この脆弱性は2023年2月に報告・修正されたもので、不適切なアクセスチェックによりWebサービスエンドポイントへの不正アクセスを可能にするという。

  • Joomla! vulnerability is being actively exploited|Malwarebytes

    Joomla! vulnerability is being actively exploited|Malwarebytes

脆弱性の影響

CISAは、この脆弱性の悪用が確認されたとして2024年1月8日(米国時間)、脆弱性カタログに追加した(参考:「Known Exploited Vulnerabilities Catalog | CISA」)。追加された脆弱性は「CVE-2023-23752」にて追跡されており、攻撃者はAPI(Application Programming Interface)を通じてJoomla!関連の設定情報を窃取できるとされる。

データベースが公開されていれば、攻撃者は管理者のパスワードを変更することが可能。この場合、攻撃者は管理インタフェースにログインしてWebシェルの挿入、悪意のあるプラグインのインストール、任意のコードを実行する可能性がある。データベースが公開されていなくても、ユーザー名とメールアドレスなどが窃取される可能性がある。

脆弱性への対策

この脆弱性は、Joomla!のバージョン4.0.0から4.2.7に存在し、バージョン4.2.8にて修正された。開発元は攻撃を回避するために速やかにアップデートすることを推奨している(参考:「[20230201] - Core - Improper access check in webservice endpoints」)。

MalwarebytesはCMSを利用するユーザーに対し、CMSを保護するために実践すべき対策として、以下を提示している。

  • 使用しているソフトウェアの脆弱性に関する情報を積極的に収集する
  • CMSのセキュリティ情報を収集するために、存在する場合はメーリングリストに参加する
  • CMSが自動更新をサポートしている場合は有効化する
  • 使用するプラグインをできる限り減らす
  • Webサイトのコードおよびそのソースコードに加えられた変更を追跡する
  • 多要素認証(MFA: Multi-Factor Authentication)によりアカウントを保護する
  • 最小権限の原則を実践する
  • ファイルのアップロードを制限する。実行可能なコードやファイルを排除し、厳重に監視する
  • Webアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する

また、CMSを独自に管理している場合はCMSにリスクが存在することを理解し、他のネットワークサービスから分離して運用することが推奨される。なお、CISAはJoomla!の速やかなアップデートを推奨するとともに、アップデートを実施できないユーザーに対して製品の利用の中止を求めている。