Home

Published

- 4 min read

CVE-2023-23752 Joomla v4.2.8 - Unauthenticated information disclosure

Joomla CMS CVE
img of CVE-2023-23752 Joomla v4.2.8 - Unauthenticated information disclosure

La vulnerabilidad CVE-2023-23752 es un problema de bypass de autenticación que permite a usuarios no autenticados acceder a información sensible sobre la instalación de Joomla!. Esta vulnerabilidad fue descubierta por Zewei Zhang del NSFOCUS TIANJI Lab el 24 de febrero de 2023 y se le asignó una calificación de severidad media (5.3 en CVS). Afecta a las versiones de Joomla! desde la 4.0.0 hasta la 4.2.7, y se lanzó un parche en la versión 4.2.8.

Impacto de CVE-2023-23752

Los sitios web afectados pueden enfrentar graves consecuencias debido a esta vulnerabilidad. Los atacantes pueden explotarla para obtener acceso no autorizado a los puntos finales del servicio web, lo que puede llevar a la filtración de información sensible como nombres de usuario, contraseñas y nombres de bases de datos. Además, se especula que los atacantes intentaron utilizar esta vulnerabilidad de bypass de autenticación para ejecutar código.

Los atacantes aprovechan esta vulnerabilidad utilizando el bypass para filtrar la configuración del sistema, revelando así que las credenciales de la base de datos MySQL de Joomla! se encuentran en texto plano, lo que les permite obtener acceso adicional al sistema.

En febrero de 2023, un blog de habla china compartió los detalles técnicos de la vulnerabilidad, describiéndola como un bypass de autenticación que permite a un atacante filtrar información privilegiada. Tras la divulgación en el blog, surgió una serie de exploits en GitHub, y múltiples indicadores de explotación aparecieron en el entorno.

Los exploits públicos se centran en filtrar las credenciales de la base de datos MySQL de la víctima. La mayoría de los exploits públicos utilizan el bypass para revelar la configuración del sistema, que contiene las credenciales de la base de datos MySQL de Joomla! en texto plano.

Detección de Amenazas utilizando FOFA

Una serie de exploits dirigidos a la vulnerabilidad aparecieron en GitHub, y hubo múltiples indicadores de explotación en el entorno. Sin embargo, estos exploits se centraron en filtrar las credenciales de la base de datos MySQL de la víctima, lo que no es particularmente sorprendente, ya que se considera una mala configuración peligrosa exponer una base de datos a Internet.

No obstante, los atacantes mostraron interés en la vulnerabilidad, lo que nos llevó a investigar más a fondo.

Para determinar la magnitud de la vulnerabilidad, examinamos el número de sistemas expuestos a Internet que fueron afectados.

Utilizando FOFA, encontramos aproximadamente 750,000 instalaciones de Joomla! expuestas a Internet.

Sin embargo, al clasificar las instalaciones de Joomla! por la versión 4.0 indexada por FOFA, descubrimos que Joomla! 4 no era muy popular, con solo alrededor de 4,000 resultados correspondientes a instancias de Joomla! utilizando esa versión.

Además, solo unas pocas de las respuestas de servidores de Joomla! seguían siendo vulnerables al ataque, lo que se tradujo en menos de 500 instalaciones expuestas a Internet.

Basándonos en las versiones de Joomla! en uso en sistemas expuestos a Internet, concluimos que, aunque la vulnerabilidad era peligrosa, nunca representó un problema significativo. A pesar de esto, los atacantes continuaron mostrando interés en la vulnerabilidad y publicaron nuevos exploits en GitHub.

Explotación de CVE-2023-23752

Los exploits públicos para CVE-2023-23752 principalmente utilizaron el bypass de autenticación para filtrar la configuración del sistema, que contenía las credenciales de la base de datos MySQL de Joomla! en texto plano. Esta información podía ser accedida de forma remota consultando los puntos finales /language/en-GB/langmetadata.xml o /administrator/manifests/files/joomla.xml sin necesidad de autenticación.

Un ejemplo de un script en Ruby para explotar la vulnerabilidad de acceso no autorizado (CVE-2023-23752) permite a un atacante divulgar información sensible, como credenciales de usuario y detalles de configuración del sitio, sin autenticación. El script toma la URL raíz del sitio Joomla! como argumento y utiliza la API de Joomla! para obtener y mostrar detalles de usuario y de configuración del sitio.

Pasos para Replicar la Explotacion

  1. https://github.com/karthikuj/CVE-2023-23752-Docker
  2. Instalar los requisitos para el script en C++ ejecutando alguno de los siguientes comandos:
    • git clone https://github.com/fullaw4ke/CVE-2023-23752-Joomla-v4.2.8
  3. Ejecutar el script de exploit con el parámetro de URL de Joomla! vulnerable.

Mitigación de CVE-2023-23752

La mejor forma de mitigar esta vulnerabilidad es actualizar su software de Joomla! a una versión que no se vea afectada por este problema. Si está utilizando Joomla! en las versiones 4.0.0 a 4.2.7, es crucial actualizar su software lo antes posible para protegerse contra esta vulnerabilidad.

Conclusión

En resumen, la vulnerabilidad CVE-2023-23752 es grave y puede filtrar información sensible. Aunque esta vulnerabilidad fue potencialmente peligrosa, no afectó a sistemas expuestos a Internet. Sin embargo, es fundamental que los usuarios de versiones afectadas de Joomla! actualicen su software a una versión que no sea vulnerable.