Selon une alerte de l’Internet Storm Center, confirmée par le CERT allemand, une attaque se développe à travers les serveurs de déploiement de Joomla en utilisant des vulnérabilités de l’éditeur de contenu du CMS.
Une attaque utilisant un script sur des vulnérabilités de l’éditeur de contenu du CMS Joomla infecte les machines des visiteurs des sites de déploiement du CMS. Certains sites WordPress sont aussi victimes de cette attaque. L’exploitation passe par l’installation de faux anti-virus qui embarque un IFrame qui pointe vers des serveurs de distribution ou vers un kit d’attaque.
L’attaque a débuté par un script qui utilise des vulnérabilités connues de l’éditeur de contenu de Joomla. Une injection PHP masquée dans un GIF serait le vecteur d’attaque sur le serveur et permettrait d’appeler et d’exécuter le code malicieux à distance et infecte les fichiers Javascript avec le nouvelle IFrame.
L’attaque semble avoir pour but de faire rapidement de l’argent par le système de redistribution du trafic, qui permet d’acheter et de vendre du trafic, et par la vente de faux antivirus. Pour éviter l’attaque le plus simple est de mettre à jour l’éditeur dans sa version actuelle JCE 2.3.1. Des variantes de l’attaque seraient cependant déjà en circulation demandant un traitement plus profond.