Le patch per una piattaforma di e-commerce dovrebbero essere applicate immediatamente. senza se, forse, ma, successivi. I ricercatori affermano che chiunque utilizzi la piattaforma Magento dovrebbe aggiornare il prima possibile e alla luce della minaccia, appena possibile significa subito.

La piattaforma di e-commerce Magento ha rilasciato patch per 37 vulnerabilità, Posta delle minacce detto venerdì. Magento ha rilasciato quattro patch critiche, quattro patch di alta gravità e 26 bug di media gravità e tre bug di bassa gravità nella raccolta delle patch.

Le versioni di Magento interessate erano la 2.1 prima della 2.1.17, Magento 2.2 prima della 2.2.8 e Magento 2.3 prima della 2.3.1.

Lucian Constantin in CSO elencato solo quali tipi di attività gli aggressori potrebbero eseguire se sfruttassero i difetti:esecuzione di codice remoto, SQL Injection, cross Site Scripting, aumento dei privilegi, divulgazione di informazioni e spamming.

Questi includevano difetti che avrebbero potuto consentire agli aggressori di impossessarsi di un sito e creare nuovi account amministratore.

Constantin ha detto Magento, utilizzato da migliaia di negozi online, aveva problemi di sicurezza che interessavano sia la versione commerciale che quella open source della sua piattaforma.

L'ultimo sviluppo è che la piattaforma Magento potrebbe presto subire attacchi dopo che gli hacker hanno rilasciato pubblicamente codice che sfrutta una vulnerabilità nei suoi sistemi, disse TechRadar , che potrebbe essere utilizzato per impiantare skimmer di carte di pagamento su siti non ancora aggiornati.

I tentativi di sfruttare i siti di e-commerce sono incessanti e questa si è rivelata una storia in corso. PRODSECBUG-2198 è il nome della vulnerabilità di SQL injection che gli aggressori possono sfruttare senza bisogno di autenticazione, se gli aggressori tentano un exploit.

KoDDoS ha scritto dell'iniezione SQL senza la necessità di un bug di autenticazione e ha notato che la società di sicurezza Sucuri "ha affermato in un post sul blog che tutti dovrebbero aggiornare immediatamente se utilizzano Magento".

Il sito di Magento ha presentato Magento 2.3.1, aggiornamento 2.2.8 e 2.1.17, dicendo "Una vulnerabilità SQL injection è stata identificata nel codice Magento pre-2.3.1. Per proteggere rapidamente il tuo negozio solo da questa vulnerabilità, installare la patch PRODSECBUG-2198. Però, per proteggersi da questa vulnerabilità e da altre, devi aggiornare a Magento Commerce o Open Source 2.3.1 o 2.2.8. Ti consigliamo vivamente di installare queste patch complete il prima possibile."

Quanto è urgente? Dan Goodin in Ars Tecnica ha detto che la nuova svolta degli eventi ha reso questa chiamata alla patch molto urgente.

"Venerdì è stato pubblicato un codice di attacco che sfrutta una vulnerabilità critica nella piattaforma di e-commerce Magento, tutto tranne la garanzia che verrà utilizzato per installare skimmer di carte di pagamento su siti che devono ancora installare una patch rilasciata di recente."

Magento è considerato una piattaforma di e-commerce popolare. Quanto è popolare? Jeremy Kirk, BancaInfoSicurezza, ha notato i suoi numeri riportati:155 miliardi di dollari di commercio nel 2018 e più di 300, 000 aziende e commercianti che utilizzano il software.

Tra i difetti individuati, la più discussa sui siti di osservazione della tecnologia è stata la vulnerabilità dell'SQL injection.

Sucuri Security ha parlato del problema di SQL injection in Magento Core e ha avvertito che il bug era critico (CVSS 8.8) e facile da sfruttare in remoto, disse Posta delle minacce .

(Il framework del Common Vulnerability Scoring System valuta la gravità delle vulnerabilità, e 10 indica il più grave.)

Marc-Alexandre Montpas, Sucuri ricercatore di sicurezza, disse, "incoraggiamo fortemente gli utenti Magento ad aggiornare i propri siti all'ultima versione del ramo che stanno utilizzando; 2.3.1, 2.2.8, o 2.1.17."

Per chi non ha familiarità con l'iniezione SQL, CSO l'anno scorso ha detto che ci sono diversi tipi, "ma coinvolgono tutti un utente malintenzionato che inserisce SQL arbitrario in una query del database di un'applicazione web." È un tipo di attacco che può dare a un avversario il controllo sul database dell'applicazione Web inserendo codice SQL arbitrario in una query del database."

Constantin ha offerto una visione più ampia in cui Magento è solo un esempio di problemi nel mondo dello shopping online:il numero di attacchi contro i negozi online in generale è aumentato nell'ultimo anno, Egli ha detto, e alcuni dei gruppi sono specialisti in web skimming.

TechRadar :"Gruppi di criminali informatici in competizione hanno passato gli ultimi sei mesi a cercare di infettare i siti di e-commerce con malware che scremano le carte per rubare i dettagli di pagamento degli utenti". TechRadar ha anche sottolineato che oltre 300, 000 aziende e commercianti hanno utilizzato i servizi della piattaforma.

Cos'è il web skimming? I colpevoli iniettano "script canaglia sui computer per acquisire i dettagli della carta di credito, " come CSO mettilo.

L'anno scorso, Adobe aveva annunciato l'accordo per l'acquisizione della piattaforma Magento Commerce. Il comunicato stampa ha descritto la piattaforma come "costruita su comprovate, tecnologia scalabile supportata da una vivace community di oltre 300 persone, 000 sviluppatori." L'ecosistema dei partner, ha detto il rilascio, "fornisce migliaia di estensioni predefinite, compreso il pagamento, spedizione, fiscale e logistica".

Jérôme Segura, capo analista di malware intelligence presso Malwarebytes, detto Ars Tecnica di giovedì. "Quando si tratta di siti Web Magento compromessi, Gli skimmer web sono il tipo di infezione più comune che vediamo a causa del loro elevato ritorno sull'investimento".

I gruppi sono specializzati nell'infiltrazione di malware nelle carte di pagamento nei siti, ha detto Jeremy Kirk in BancaInfoSicurezza .

© 2019 Scienza X Rete