Joomla es el segundo (después de WordPress) CMS (sistema de gestión de contenido web) compatible con móvil más usado. Sin embargo, al contrario que la plataforma de publicación más popular, WordPress, Joomla no aplica actualizaciones de seguridad automáticas por defecto. Por ello, los usuarios tienen que actualizar ellos mismos las versiones desactualizadas, desde que las actualizaciones se publican. El problema principal es que todas las versiones de Joomla empezando por la 3.4.4 hasta la 3.6.3 deben actualizarse. Y la razón de ello no tiene que ver con la prevención. Lo importante es que estas actualizaciones buscan solucionar vulnerabilidades de seguridad, que ya han sido comprometidas. De hecho, los ataques han sido muy salvajes, cómo el proveedor de ciber seguridad Sucuri ha descrito:
[…] por culpa del gran aumento [de ataques], creemos que cualquier sitio de Joomla! que no haya sido actualizado, es muy probable que ya esté comprometido.
Las dos vulnerabilidades críticas reveladas la semana pasada son las siguientes: CVE-2016-8870, permite registrar una página web a pesar del hecho de que el registro no esté disponible, y el CVE-2016-8869, que permite al atacante registrarse en un sitio con privilegios elevados. Ambas vulnerabilidades se han arreglado en la versión más reciente de Joomla, que ya ha sido publicada.
Los usuarios, ejecutando las versiones desde la 3.4.4 hasta la 3.6.3 deben actualizar estas versiones a la versión 3.6.4 lo antes posible. Esta versión reciente de Joomla CMS elimina el viejo código. Además de esto, parchea la tercera vulnerabilidad crucial CVE-2016-9081. Los usuarios deben haber recibido el email de Joomla, informando sobre la actualización publicada. Si usa Joomla y no ha realizado ninguna actualización recientemente, revise la carpeta de Bandeja de Entrada (no sólo la de spam, porque puede crearse más problemas) de su email para buscar cualquier email de Joomla.
Si deja estas vulnerabilidades sin parchear, se arriesga a lo siguiente. Su web puede sufrir un ataque, que tenga consecuencias fatales no sólo en sí mismo, sino que el sitio puede explotarse como una herramienta para comprometer millones de otras webs. Su página web puede incluirse en una red de bots, distribuyendo virus mediante el envío de emails de spam o llevar a cabo macabros ataques DDoS (Denegación Distribuida del Servicio).
Fuentes: nakedsecurity.sophos.com, securityweek.com.
