De lekken in een framework als Ruby krijgen natuurlijk meer aandacht omdat bekende diensten hiervan gebruik maken. Maar NCSC waarschuwt ook dat Joomla, één van de meest populaire cms-frameworks, een ernstig beveiligingsprobleem heeft. Om hoeveel websites het hier gaat is een beetje onduidelijk maar sinds 2007 is dit framework dertigmiljoen keer gedownload. Dat is dus een interessant aanvalsdoel voor kwaadwillenden.
Nu maakte Nationale Cybersecurity Center dus op 9 januari de kwetsbaarheid in de Joomla Content Editor (com_jce) bekend. Dit omdat er een exploit op internet in omloop is waarmee kwaadwillenden code op websites zetten. Het probleem was namelijk al in april 2012 gevonden en een maand later opgelost. Maar omdat de meeste websites niet alleen gebruik maken van het core-systeem en al helemaal niet de standaard template gebruiken, stellen dus de meesten de migratie uit. En eerlijk gezegd had ik ook niet zo’n drang om in de kerstvakantie te gaan zitten hobbyen, maar wat moet, dat moet.
Dataverkeer
Want dat binnen het top-level NL domein actief gebruik gemaakt wordt van de exploit had ik al proefondervindelijk vastgesteld. Zo zag ik in november dat het dataverkeer van de website een verdachte toename liet zien. Blijkbaar is niets meer heilig, want we hebben het over een website van een vereniging, één van de vele (tien)duizenden en zonder geheimen. Het liefdewerk van vrijwilligers die onbetaald hun club helpen en niet zitten te wachten op overschrijding van de datalimiet of andere verrassingen.
Nader onderzoek liet zien dat een onverlaat er stiekem software op had geplaatst. En toen na eerste verwijdering het spel herhaald werd zat er dus niets anders op dan te migreren naar de laatste versie van Joomla. Maar omdat migratie van templates en maatwerk nu eenmaal tijd kost, stellen veel webmasters de hoog nodige aanpassingen nog steeds uit. Overstap van Joomla 1.5.x naar 2.5.x is namelijk nogal rigoureus door de vele veranderingen (en verbeteringen) die er gemaakt zijn.
Framed werk
Het voordeel van een framework is direct ook een nadeel omdat je hiermee dus afhankelijk wordt van anderen. Zowel in oplossen van beveiligingsproblemen als met ‘migratie planning’ wanneer de patch geen minor update is, maar major doordat het achterliggende systeem gewijzigd wordt. Dit wordt versterkt als het framework de basis is voor maatwerk, de ‘heipalen’ waarop veel oplossingen gebouwd zijn. En populariteit zorgt ervoor dat het een interessant doel wordt, want een gevonden lek heeft een grote reikwijdte en is vaak ook niet zo snel gedicht. Vergeet ook niet dat er tijd ligt tussen ontdekking, vaak door hackers die aan goede zijde van de moraal staan, en het dichten ervan met een update.
Betreffende de hackers die aan de goede kant staan zijn er namelijk ook security frameworks die met regelmaat nieuwe gevaren publiceren, die soms een even grote of nog grotere impact hebben dan geconstateerde problemen in Ruby. Gevaar zit namelijk niet zo zeer in de gaten die ontdekt en gedicht zijn, maar in de rest van het vergiet, de zero-day exploits, lekken die nog niet ontdekt zijn en waarvoor dus ook geen fix of waarschuwing is. Hypocriete is dat deze blijkbaar wel verhandeld mogen worden maar niet gebruikt. Dus wie maakt zich nog druk om de Patriot Act?
Joepla
Terug naar de migratie van Joomla, die voor de core-componenten een fluitje van een cent was. Via een back-up kon ik eenvoudig een offlinekopie binnen XAMPP maken en met jUpgrade de database migreren. Tot zover het goede nieuws, want om tussen oude en nieuwe website een spelletje ‘zoek de zeven verschillen’ mogelijk te maken was wat meer werk nodig. Maar na puzzelen met stylesheets is het toch gelukt en tot op heden lijkt het bezoekers niet op te vallen dat de website op een andere versie loopt. Nou ja, hopelijk valt het bij één bezoeker wel op, maar die is dus persona non grata.
Helaas is er een flink misverstand rond het bericht over Joomla van het NCSC, mede te danken aan de redactie van Computable dat eerder berichtte over “NCSC waarschuwt voor misbruik via Joomla lek”. Gelukkig is dit artikel is inmiddels aangepast in “NCSC waarschuwt voor lek in Joomla add-on”, want het gaat namelijk niet om een lek in Joomla zelf.
Het NCSC heeft namelijk gewaarschuwd voor een kwetsbaarheid in een plugin/uitbreiding/extensie/add-on (of hoe je het wilt noemen) van Joomla, genaamd JCE. Deze JCE plugin is NIET standaard aanwezig in de Joomla core. De kwetsbaarheid geldt dus ook niet voor alle Joomla sites. Alleen voor de sites die gebruik maken van deze plugin en sinds mei 2012 de plugin niet meer hebben bijgewerkt naar de laatste versie.
Zie ook het artikel op de site van de makers van deze plugin: http://www.joomlacontenteditor.net/news/item/jce-and-your-sites-security
Blijft natuurlijk altijd belangrijk om zowel Joomla als de gebruikte uitbreidingen bij te blijven werken naar de laatste versies.
Sander,
Dat redactie verkeerde informatie geeft aan zijn lezers kun je mij niet kwalijk nemen en volgens mij geef ik in mijn opinie duidelijk aan dat het om een (veelgebruikte) editor gaat. En wie Joomla bij wil werken naar de laatste versie ontkomt volgens mij niet aan migratie.
Hallo Ewout,
Daar kan jij inderdaad niets aan doen. Helaas komt het bij mij niet duidelijk over dat het om een uitbreiding van Joomla gaat. In de eerste alinea spreek je over dat Joomla een ernstig beveiligingsprobleem heeft, en je gebruikt de downloads van Joomla ipv de JCE editor.
Afgezien van het feit dat migreren naar een recente versie natuurlijk prima is, is het niet nodig om dit beveiligingsprobleem op te lossen. De JCE editor heeft versies voor Joomla 1.5, Joomla 2.5 en Joomla 3.0, en in al deze versies is het beveiligingsprobleem verholpen http://www.joomlacontenteditor.net/downloads/editor
Sander,
Als eerste schrijf ik een aantal dingen in deze opinie, waarbij ik de boodschap ophang aan Joomla maar me er niet toe beperk. En ja, je hebt gelijk dat core van Joomla 1.5.26 (nog) geen security probleem heeft maar vergeet er dan niet bij te vermelden dat deze versie ook niet meer ondersteund wordt. En hoewel het een keus is om niet te migreren lijkt me dat dus een risico zoals ik probeer uit te leggen met zero-day exploits. En als oplettende lezer had je natuurlijk al door dat de tijdslijnen die ik noem afwijken van de waarschuwing die gegeven wordt door onze nationale klokkenluider het NCSC.
Misschien dat er op de websites van verenigingen geen geheimen staan er zijn nog wel meer redenen te bedenken waarom deze wel interessant zijn om aan te vallen. Zo geef ik aan dat ik problemen constateerde door een verdachte toename in het dataverkeer dus je kunt raden waarvoor mijn bandbreedte gebruikt werd. Tel daarbij op dat deze websites vaak beheerd worden door goedwillende vrijwilligers met een veel lagere beheerintensiteit en je kunt een leuk handeltje opzetten in deze tijd van crisis.
Hallo Ewout,
Om welke code het ook gaat, core Joomla! Of een van de vele duizenden toevoegingen, het bij blijven met de laatste updates was vroeger gewoon onderdeel van systeembeheer en om het risico van al die aanpassingen daarvan te verlagen hebben we samen allerlei methodes en procedures uitgevonden, om dat te managen, zoals ITIL.
Maar als je als vrijwilliger bij een vereniging een site wilt opzetten en onderhouden ga je gewoon aan de slag. En houd je je niet bezig met het managen van uitvoeren acties op het systeembeheervlak.
En zo zijn wij ook 3 jaar geleden begonnen met de site van onze club, en om dat te doen heb je al snel de volgende onderdelen welke je aan de praat wilt blijven houden.
• Webhosting services (hosting van de services zoals domein naam, bandbreedte richting Internet, file services, security services, Database services, PHP services, Email services, FTP services, Cloudflare, Backup en recovery services, sitebouw services, update services);
• Content Management Systeem (Joomla!);
• Template (Gavick Pro)
• Componenten en plugin’s voor functies in de site zoals Item management(K2), schrijven van items (jce), images (Phoca), Weergave’s zoals menu’s, sliders etc (Gavick pro). En omdat wij een sportclub zijn ook nog dingen van Voetbal, Volleybal en Darts bonden, zoals uitslagen en standen, en verschillende items die andere over onze club in het nieuws of op internet zetten (RSS readers etc).
• Sociale integratie (Facebook, Google+, Twitter, Instagram, Pinit) Het oppakken van items van onze leden die over de club gaan.
• Google Analyse en re-Chaptcha voor feedback over de site en een stukje spam bescherming.
Wij kozen om bij Siteground te hosten. Dit is een hosting met een lage instap prijs en juist datgene wat je nodig hebt om relatief eenvoudig de basis (web-hosting, CMS en Template), geen voorwaarden voor de maximale grootte van de site, bandbreedte, email adressen, FTP toegang, databases. Heeft als standaard een aantal goede services, te veel om hier te noemen, maar back-up en security zijn er een van. Proefondervindelijke hebben we ook mogen genieten van de Helpdesk (echt snel via chat en mail, zowel met technische als financiële zaken).
Als Template hebben we de duurste investering gemaakt, lifetime subscription bij Gavick pro. Dit bedrijf heeft responsive design templates (makkelijk met alle devices en mobiele versie van je site). Ook hebben ze voor het publiceren van informatie de juiste modules beschikbaar, en zijn ze technisch relatief snel bij zodra Joomla! met een nieuwe core uitkomt.
Wat ik verder wil zeggen is dat je als groep vrijwilligers inmiddels veel tijd aan de technische kant van de site bezig bent, helemaal met de hoeveelheid functies die wij hebben. Gelukkig zijn er ook genoeg mensen in de club die artikelen schrijven en foto’s maken (waar doe je het anders voor…) en daardoor hebben we inmiddels een leuke site waar we hedendaags alles mee kunnen. Maar ook wij zijn eenvoudig begonnen.
Maar het beveiligingsaspect is ook bij ons onderbelicht. We hebben wel verschillende maatregelen genomen (hack alert, SQL injectie) maar zeer ook aandacht besteed aan belangrijke basis items zoals:
• Controle op wachtwoorden (lengte, moeilijkheid, houdbaarheid).
• Geen overbodige dingen installeren op de site (_com, _mod en _plg’s) en geen oude CMS en databases verwijderen. (hier heb je geen security aandacht voor immers).
• Updates uitvoeren (Akeeba, of je hosting provider) kunnen daar allemaal aan mee werken.
En lees bijvoorbeeld ook de security documentatie (kost je als Admin 2 uurtjes max) om de eerste 10 stappen van het plan uit te voeren op je site., hiermee voorkom je al zo veel.
Bronnen:
http://www.siteground.com
http://www.getk2.org
http://www.gavick.com
http://www.phoca.ch
http://www.jce.com
http://www.joomlacontenteditor.net
http://www.joomlacommunity.eu
last but not least http://www.joomla.org
Start met beveiligen van je site (lmgtfy) – http://bit.ly/XrSGZu
Op dit moment gaan wij niet van Joomla! af stappen, maar wat we wel in de peiling houden is het gebruik van bv WordPress. Als vereniging heb je niet zo veel keuzes, en ben je afhangelijk van de inspanningen van andere vrijwilligers (programmeurs) die voor jouw de code secure houden. We blijven gewoon bijwerken, en ik moet zeggen het is al een stuk makkelijke en sneller geworden dan een jaar of 5 geleden. Waarvoor onze dank!
Ronald,
Je hebt gelijk hoewel ITIL natuurlijk een ‘overkill’ is bij het beheer van een of meerdere websites. Want ik zie de kapper, slager en andere MKB bedrijven niet zo gauw ITIL, ISM of andere beheer methodieken invoeren. Die zullen dus eerder geinteresseerd zijn in jouw oplossingen van ‘ontzorgen’ door inderdaad wat meer geld te besteden.
Een goede aanvulling dus waar iedereen met een Joomla website zijn voordeel mee kan doen.