AVISO DE SEGURIDAD: Extensión Xmap 1.2.10 infectada con troyano

Escrito por Isidro Baquero.

Según podemos leer en los foros oficiales de Joomla.org, la web oficial de la extensión Xmap ha visto comprometida su seguridad, y los atacantes han "colado" un troyano en el paquete de instalación de la versión 1.2.10 del popular componente para creación de sitemaps dinámicos para nuestros sitios Joomla.

Si has descargado el paquete recientemente, NO LO INSTALES. Es más, no lo descomprimas en tu ordenador, e incluso sería recomendable borrar el archivo o mantenerlo en la carpeta de cuarentena del antivirus. Los paquetes más antiguos no están comprometidos en principio (yo lo descargué el 10 de diciembre y no está infectado), aunque conviene no confiarse, pues no se sabe exactamente en qué momento se introdujo el virus. ACTUALIZACIÓN: El autor de la extensión ha confirmado que la inclusión del código malicioso se produjo entre los días 21 y 23 de febrero, y afectaba tanto a al paquete de la versión 1.2.10 como al de la 1.2.9.

Si quieres estar seguro, pásale el antivirus al archivo, o directamente puedes echar un vistazo al paquete .zip sin descomprimirlo. Según parece, el código del troyano se encuentra en un sector codificado con base64 dentro del archivo Xmap_1.2.10-UNZIP-First\com_xmap-1.2.10.zip\install.xmap.php, y en un archivo que se ha insertado en el directorio de la caché del componente, concretamente Xmap_1.2.10-UNZIP-First\com_xmap-1.2.10.zip\front\cache\theme.php. También se ha detectado código malicioso codificado con base64 dentro del archivo Xmap_1.2.10-UNZIP-First\com_xmap-1.2.10\front\css\slider.css.php, que podría usarse para enviar automáticamente información comprometida por email.

El autor de la extensión ha sido informado, y la extensión ha sido incluida en la Lista de Extensiones Vulnerables, además de suspenderse temporalmente su entrada en el JED. Si necesitas esta extensión, te recomendamos que estés atento a dicha lista a la espera de noticias que confirmen que se ha solucionado el problema.

Como vemos, a veces no basta con que el autor de la extensión sea alguien con una probada buena reputación en la Comunidad (desconfiad de las extensiones nuevas, y sometedlas al menos a una cuarentena si no lo veis claro). A veces "los malos" pueden aprovechar esa confianza para atacarnos por la retaguardia desde un sitio supuestamente confiable.

Sobre el autor
Isidro Baquero
Author: Isidro Baquero

Desde 2008 ha trabajado como freelance, fundamentalmente desarrollando sitios web basados en Joomla, aunque también como webmaster, gestor de comunidades o traductor del inglés al español de aplicaciones de software. Actualmente forma parte del equipo de SobiPro en Sigsiu.NET, donde desempeña labores de soporte, documentación, pruebas de software y traducción al español.

::- Contactar -::


Comentarios  

 
0 #1 gnumax 24-02-2011 00:56
Hola

He revisado concienzudament e los archivos que mencionas y otros y no he visto ningún encodeado en base64 en los mismos ¿podrías ser más preciso?, ¿esto lo detectaron en extensiones ya instaladas de Xmap 1.2.10 o en los packs al descargarlos?.

Es importante aclarar esto para no tener una alarma innecesaria al respecto entre los usuarios.

Saludos
Citar
 
 
0 #2 Yamil 24-02-2011 05:50
Gracias por tu aporte y la noticia, es importante mantener alerta a la comunidad y como bien dice el articulo, muchas veces, aunque los desarrolladores de extensiones mas conocidos se han ganado nuestra confianza, personas con malas intenciones pueden aprovecharlo para vulnerar nuestros propios sitios.
Citar
 
 
+3 #3 Isidro Baquero 24-02-2011 10:46
@gnumax Hola Luis. ¿Has leído el enlace a los foros de Joomla.org que hay al principio del artículo? Es más, ¿has leído el artículo al menos la mitad de concienzudament e que has revisado esos archivos? Porque la respuesta a todas tus preguntas está ahí. Y, en cualquier caso, antes de decir cosas como "Es importante aclarar esto para no tener una alarma innecesaria al respecto entre los usuarios", dando a entender que me limito a difundir rumores sin contrastar, podías haber comprobado por ti mismo todo eso directamente en las fuentes.

No soy ningún inconsciente, y aunque el asunto saltó el martes, hasta que no se añadió ayer a la lista de extensiones vulnerables, y por tanto no se le ha dado trato "oficial" por parte del equipo de la VEL (Vulnerable Extensions List), no lo he difundido entre la comunidad de habla hispana. Además, no confundas sembrar "la alarma" con alertar a la gente y recomendarle que cuando instalen software en sus sitios extremen las precauciones.

Según se podía ver ayer en la web del autor en un mensaje que estuvo publicado durante unas horas, el virus fue insertado sobre el día 21, y ya ha sido eliminado.

Espero que esto aclare tus dudas, y que en un futuro te lo pienses un poco más antes de poner en duda públicamente mi labor. Estos comentarios no se publican hasta que yo los leo, porque cuando estaban abiertos recibía 10 o 12 mensajes de spam a diario, pero los publico siempre. Si querías aclarar algo, lo procedente era mandarme un privado o directamente un correo. Joder, que nos conocemos por mil otras cosas como para que trates de pintarme la cara en mi propia casa.
Citar
 

Escribir un comentario

REGLAS APLICABLES A LOS MENSAJES
  • Los comentarios serán publicados una vez que hayan sido comprobados y aprobados por un administrador del sitio.
  • No están permitidos comentarios injuriosos o amenazadores.
  • No está permitido hacer spam.
  • Los enlaces que no vayan a sitios oficiales Joomla! o que no estén relacionados con el mensaje serán editados.