Wat is het Astroid Framework?


Het Astroid Framework is een veelgebruikte bouwsteen voor Joomla-websites. Veel templates — de visuele "schil" van een website — zijn erop gebouwd. Als jouw Joomla-site een template gebruikt dat op Astroid draait, kan dit lek jou treffen.

Wat maakt dit lek zo ernstig?


Normaal moet een aanvaller minstens een wachtwoord stelen of iemand misleiden om schade te kunnen aanrichten. Bij dit lek is dat niet nodig.

Iemand kon simpelweg naar de inlogpagina van je website surfen, één gegeven kopiëren dat publiek zichtbaar is, en daarmee volledige toegang krijgen tot je site — zonder ooit in te loggen. Van daaruit konden ze bestanden uploaden, software installeren en de controle overnemen.

Wat aanvallers in de praktijk doen: verborgen links naar spam- en oplichterssites injecteren in je webpagina's. Je bezoekers zien er niets van, maar zoekmachines wel — wat je positie in Google schaadt.

Wie loopt risico?


Elke Joomla-site die het Astroid Framework gebruikt in een versie ouder dan 3.3.11. Dat geldt voor Joomla 3, 4, 5 én 6.

Weet je niet zeker of jouw site Astroid gebruikt? Vraag het na bij je webbeheerder of contacteer me gerust.

Wat is de oplossing?


De makers van het Astroid Framework hebben de fout hersteld in versie 3.3.11. De aanbevolen versie vandaag is 3.3.12 — versie 3.3.11 bleek achteraf nog een kleine fout te bevatten.

Belangrijk: updaten sluit het lek, maar ruimt geen schade op als je site al getroffen is. Ben je niet zeker of je site al gecompromitteerd is? Lees dan verder.

Hoe weet je of je site al getroffen is?


Er zijn een paar concrete signalen:

  • Kijk in je Joomla-pluginbeheer of er plugins staan met de naam System - BLPayload of System - BL Payload. Die horen er niet.
  • Check of er ongewone bestanden staan in je /images/-map of in /administrator/cache/ — met namen als plg_jcp_[willekeurige code].php.

Vind je iets, of ben je er niet zeker van? Dan is updaten alleen niet voldoende. De kwaadaardige software blijft actief, ook na een update.

Hoe kan ik helpen?


Ik volg beveiligingslekken op voor alle sites die ik beheer, en reageer zodra er iets relevants opduikt — zoals vandaag.

Heb jij een Joomla-site met het Astroid Framework en geen webbeheerder die dit opvolgt? Neem contact op, dan bekijk ik de situatie voor je.