Năm 2008, bản Joomla! 1.5.6 trở về trước bị một lỗi bảo mật nghiêm trọng khiến tin tặc có thể chiếm quyền quản trị trong Joomla!. Gần đây, bản Joomla! 1.6 1.7 và 2.5.0 đến 2.5.2 cũng bị dính lỗi nghiêm trọng như vậy.
Do cách khai thác dễ dàng nên lỗi bảo mật của Joomla 1.5.6 đã được thông báo rộng rãi đến người sử dụng Joomla trong nước. Tuy nhiên với lỗi bảo mật mới nhất thì người dùng trong nước hầu như không để ý mặc dù trên blog của Jeff Channell đã thông báo từ hơn 3 tháng trước: ngày 15/3/2012. Chính vì vậy thời gian gần đây trên các diễn đàn bảo mật, xuất hiện nhiều hướng dẫn khai thác lỗi bảo mật này, thậm chí nhiều người còn xây dựng những công cụ nhằm tự động hoa quá trình khai thác lỗi bảo mật.
Với lỗi mới nhất này, hacker chỉ cần truy cập vào địa chỉ index.php?option=com_users&view=registration (Joomla! 2.5) hoặc index.php?option=com_user&view=register (Joomla! 1.x) để đăng kí tài khoản với quyền quản trị (administrator) bằng vài thủ thuật nhỏ.
Cụ thể, kẻ xấu có thể khai thác lỗi bằng cách sử dụng các tiện ích dành cho trình duyệt Firefox hoặc Chrome, chèn thêm vào form đăng kí của Joomla đoạn code sau:
<input name=”jform[groups][]” value=”7″ />
Sau đó, bằng cách cố tình đăng nhập lỗi (ghi sai mật khẩu hay captcha) để hệ thống lưu giá trị group này vào phiên làm việc và trong lần đăng kí ngay sau đó sẽ đăng kí thành công với quyền hạn cao nhất. Với tài khoản mang quyền quản trị cao nhất này, có thể sử dụng để đăng nhập vào trang quản trị (thông thường là /administrator/, tải mã mã độc và leo thang đặc quyền chiếm cả máy chủ.
Như vậy những website hội tụ đầy đủ những yếu tố sau sẽ bị hack:
- Sử dụng Joomla! phiên bản 1.6, 1.7 hoặc 2.5.0 – 2.5.2.
- Cho phép đăng kí thành viên.
- Để lộ địa chỉ trang quản trị.
Nếu chưa kịp cập nhật lên phiên bản mới, bạn cần ngay lập tức tắt đăng kí thành viên, rà soát xem website đã bị tấn công qua lỗ hổng này chưa. Cách khắc phục tốt nhất là làm sạch toàn bộ code sau đó hãy nâng cấp lên bản mới nhất, nếu nâng cấp khi chưa làm sạch code thì nguy cơ website của bạn bị tấn công trong tương lai vẫn còn vì rất có thể website đã bị chèn mã độc.
Rất nhiều website của các trường đại học, công ty và cơ quan nhà nước ở Việt Nam vẫn dùng các phiên bản Joomla! 1.6 hoặc 1.7 chưa được vá lỗi, những website này thường là tự xây dựng hoặc thuê các công ty thiết kế web xây dựng, nhiều khi chủ website còn không biết gì về Joomla! chính vì thế việc nâng cấp gần như bị bỏ qua sau khi website thiết kế xong và đưa vào sử dụng. Những website thế này đều có thể bị hack bất cứ lúc nào.
Chú ý rằng các phiên bản 1.6 và 1.7 không còn được hỗ trợ. Hoặc bạn dùng bản 1.5 mới nhất, hoặc nâng cấp lên 2.5 mới nhất.
Lỗi bảo mật nghiêm trọng này khiến Joomla! phải liên tiếp tung ra các bản nâng cấp chỉ trong vài tuần, việc này đã gây mệt mỏi không nhỏ cho những nhà phát triển thứ cấp.
