Veiligheidsprobleem met AcyMailing
AcyMailing is een populair e-mailmarketing en nieuwsbrief extensie voor Joomla waarin recentelijk een groot veiligheidprobleem is ontdekt. In augustus 2023 bleken veel Joomla websites met AcyMailing 6,7, en 8 gehackt te zijn.
AcyMailing veiligheidsupdate v8.7.0
Op 16 augustus 2023 bracht AcyMailing security update v8.7.0 uit. Die heeft 4 belangrijke kwetsbaarheden verholpen:
- Cross-Site Scripting (XSS) kwetsbaarheid, bescherming tegen ongeautoriseerde toegang tot campagnes.
- Unauthorized List Creation (Ongeoorloofde aanmaak van lijsten), voorkomt het maken van lijsten door onbevoegden.
- Kwetsbaarheid voor het verwijderen van bijlagen, beveiliging van bijlagen bij e-mailcampagnes.
- Subscriber List Enumeration, beveiliging van abonneegegevens.
Deze kwetsbaarheden hebben alleen invloed op AcyMailing Enterprise editie en specifiek bij het gebruik van een front-end campagnes beheermenu op een Joomla website. Versies 6.7.0 tot 8.6.3 zijn getroffen, maar deze zijn gepatcht in versie 8.7.0. AcyMailing raadt aan om zo spoedig mogelijk te updaten.
Kritisch veiligheidprobleem v8.5.0 - controleer websites nu
Op 25 augustus 2023 bracht AcyMailing naar buiten wat het veiligheidsprobleem was: een kwetsbaarheid die het mogelijk maakte om "ongeautoriseerd bestanden aan te aanmaken", waardoor kwaadaardige PHP-bestanden op de server konden worden geplaatst. Er werd daarbij gebruik gemaakt van de upload thumbnail functie in AcyMailing. Door het plaatsen van PHP code konden aanvallers mogelijk volledige toegang krijgen tot een Joomla website, inclusief Joomla-bestanden, databasegegevens en gebruikersgegevens. Deze kwetsbaarheid is met de patch verholpen.
Helaas zijn veel websites van AcyMailing gebruikers gehackt. Dit blijkt in sommige gevallen al in april en mei 2023 gebeurd te zijn.
De makers van Acymailing raden aan om:
- zo spoedig mogelijk te updaten naar de nieuwste versie van AcyMailing
- de website te controleren:
- op hack-bestanden met de naam "thumbnail_*.php".
- Als dergelijke bestanden worden gevonden, moeten ze worden verwijderd met behulp van FTP of SSH.
- Verder dient er dan gezocht te worden naar verdachte bestanden die "$_COOKIE" bevatten.
- Ook wordt bij een hack aangeraden om wachtwoorden van databases en FTP/SMTP-accounts te wijzigen.
Bronnen:
- AcyMailing security update v8.7.0 (August 16, 2023)
- Critical security patch v8.5.0 – check your websites now (August 25, 2023)