Patches para uma plataforma de comércio eletrônico devem ser aplicados imediatamente. Sem ifs, talvez, mass, últimos. Os pesquisadores dizem que qualquer pessoa que use a plataforma Magento deve atualizar o mais rápido possível e à luz da ameaça, o mais rápido possível significa agora.

A plataforma de comércio eletrônico Magento lançou patches para 37 vulnerabilidades, Poste de Ameaça disse na sexta-feira. Magento lançou quatro patches críticos, quatro patches de alta gravidade e 26 bugs de gravidade média e três bugs de baixa gravidade no roundup de patch.

As versões Magento afetadas eram 2.1 antes de 2.1.17, Magento 2.2 anterior a 2.2.8 e Magento 2.3 anterior a 2.3.1.

Lucian Constantin em CSO listou apenas os tipos de atividades que os invasores poderiam realizar se explorassem as falhas:execução remota de código, Injeção SQL, cross-site scripting, escalonamento de privilégios, divulgação de informações e spamming.

Isso incluía falhas que poderiam permitir que invasores assumissem o controle de um site e criassem novas contas de administrador.

Constantin disse Magento, usado por milhares de lojas online, teve problemas de segurança que afetaram as versões comercial e de código aberto de sua plataforma.

O desenvolvimento mais recente é que a plataforma Magento pode em breve enfrentar ataques depois que os hackers lançaram publicamente um código que explora uma vulnerabilidade em seus sistemas, disse TechRadar , que poderia ser usado para plantar skimmers de cartão de pagamento em sites que ainda não foram atualizados.

As tentativas de explorar sites de comércio eletrônico são implacáveis ​​e isso acabou por ser uma história recorrente. PRODSECBUG-2198 é o nome da vulnerabilidade de injeção de SQL que os invasores podem explorar sem a necessidade de autenticação, se os invasores tentarem uma exploração.

KoDDoS escreveu sobre a injeção de SQL sem a necessidade de bug de autenticação e observou que a empresa de segurança Sucuri "disse em um post de blog que todos deveriam atualizar imediatamente se estiverem usando Magento."

O site da Magento apresentou o Magento 2.3.1, Atualização 2.2.8 e 2.1.17, dizendo "Uma vulnerabilidade de injeção de SQL foi identificada no código Magento pre-2.3.1. Para proteger rapidamente sua loja somente desta vulnerabilidade, instale o patch PRODSECBUG-2198. Contudo, para se proteger contra esta vulnerabilidade e outras, você deve atualizar para Magento Commerce ou Open Source 2.3.1 ou 2.2.8. Recomendamos fortemente que você instale esses patches completos assim que possível. "

Quão urgente é urgente? Dan Goodin em Ars Technica disse que a nova reviravolta dos eventos tornou esta chamada para patch muito urgente.

"O código de ataque foi publicado na sexta-feira que explora uma vulnerabilidade crítica na plataforma de e-commerce Magento, quase garantindo que será usado para plantar skimmers de cartão de pagamento em sites que ainda não instalaram um patch lançado recentemente. "

Magento é considerado uma plataforma de comércio eletrônico popular. Quão popular? Jeremy Kirk, BankInfoSecurity, observou seus números relatados - US $ 155 bilhões em comércio em 2018 e mais de 300, 000 empresas e comerciantes que utilizam o software.

Fora das falhas identificadas, o mais discutido em sites de observação de tecnologia tem sido a vulnerabilidade de injeção de SQL.

A Sucuri Security falou sobre o problema de injeção de SQL no Magento Core e avisou que o bug era crítico (CVSS 8.8) e fácil de explorar remotamente, disse Poste de Ameaça .

(A estrutura do Common Vulnerability Scoring System avalia a gravidade das vulnerabilidades, e 10 indica o mais grave.)

Marc-Alexandre Montpas, Pesquisador de segurança da Sucuri, disse, "Nós encorajamos fortemente os usuários do Magento a atualizar seus sites para a versão mais recente do branch que estão usando; seja 2.3.1, 2.2.8, ou 2.1.17. "

Para quem não está familiarizado com a injeção de SQL, CSO no ano passado disse que existem vários tipos, "mas todos eles envolvem um invasor inserindo SQL arbitrário em uma consulta de banco de dados de aplicativo da web." É um tipo de ataque que pode dar a um adversário controle sobre o banco de dados de seu aplicativo da web, inserindo código SQL arbitrário em uma consulta de banco de dados. "

Constantin ofereceu uma visão mais ampla, onde Magento é apenas um exemplo de problema no terreno das compras online:O número de ataques contra lojas online em geral aumentou no último ano, ele disse, e alguns dos grupos são especialistas em web skimming.

TechRadar :"Gangues concorrentes de criminosos cibernéticos passaram os últimos seis meses tentando infectar sites de comércio eletrônico com malware de clonagem de cartão para roubar os detalhes de pagamento dos usuários." TechRadar também apontou que mais de 300, 000 empresas e comerciantes utilizaram os serviços da plataforma.

O que é skimming na web? Os culpados injetam "scripts desonestos em computadores para capturar detalhes de cartão de crédito, " Como CSO colocá-lo.

Ano passado, A Adobe anunciou um acordo para adquirir a plataforma Magento Commerce. O comunicado à imprensa descreveu a plataforma como "construída com base comprovada, tecnologia escalável suportada por uma comunidade vibrante de mais de 300, 000 desenvolvedores. "O ecossistema de parceiros, disse o lançamento, "fornece milhares de extensões pré-construídas, incluindo o pagamento, envio, impostos e logística. "

Jérôme Segura, analista líder de inteligência de malware na Malwarebytes, contado Ars Technica na quinta feira. "Quando se trata de sites do Magento hackeados, Os skimmers da web são o tipo de infecção mais comum que vemos devido ao seu alto retorno sobre o investimento. "

Os grupos são especializados em inserir malware de cartões de pagamento em sites, disse Jeremy Kirk em BankInfoSecurity .

© 2019 Science X Network