Magento handelsplatform har rettelser, brugere bedt om at installere hurtigst muligt

Patches til en e-handelsplatform bør anvendes med det samme. Ingen hvis, maybes, men, senere. Forskere siger, at enhver, der bruger Magento-platformen, bør opgradere så hurtigt som muligt og i lyset af truslen, så hurtigt som muligt betyder lige nu.

E-handelsplatformen Magento har udgivet patches til 37 sårbarheder, Trusselpost sagde fredag. Magento udgav fire vigtige patches, fire højsværhedsfejl og 26 medium sværhedsgrad fejl og tre lavsværhedsfejl i patch roundup.

De påvirkede Magento-versioner var 2.1 før 2.1.17, Magento 2.2 før 2.2.8 og Magento 2.3 før 2.3.1.

Lucian Constantin i CSO oplistet, hvilke typer aktiviteter angriberne kunne udføre, hvis de udnyttede fejlene:fjernudførelse af kode, SQL-injektion, scripting på tværs af websteder, eskalering af privilegier, videregivelse af oplysninger og spamming.

Disse omfattede fejl, der kunne have ladet angribere overtage et websted og oprette nye administratorkonti.

Constantin sagde Magento, brugt af tusindvis af online butikker, havde sikkerhedsproblemer, der påvirker både de kommercielle og open source-versioner af sin platform.

Den seneste udvikling er, at Magento-platformen snart kan blive udsat for angreb, efter at hackere offentligt udgav kode, der udnytter en sårbarhed i sine systemer, sagde TechRadar , som kunne bruges til at plante betalingskortskimmere på sider, der endnu ikke er blevet opdateret.

Forsøg på at udnytte e-handelssider er ubarmhjertige, og dette viste sig at være en løbende historie. PRODSECBUG-2198 er navnet på SQL-indsprøjtningssårbarheden, som angribere kan udnytte uden behov for godkendelse, hvis angribere forsøger en udnyttelse.

KoDDoS skrev om SQL-injektionen uden behov for autentificeringsfejl og bemærkede, at Sucuri-sikkerhedsfirmaet "sagde i et blogindlæg, at alle skulle opgradere med det samme, hvis de bruger Magento."

Magentos websted præsenterede Magento 2.3.1, 2.2.8 og 2.1.17 opdatering, der siger "En sårbarhed i SQL-indsprøjtning er blevet identificeret i Magento-kode før 2.3.1. For hurtigt at beskytte din butik mod denne sårbarhed, installer patch PRODSECBUG-2198. Imidlertid, for at beskytte mod denne sårbarhed og andre, du skal opgradere til Magento Commerce eller Open Source 2.3.1 eller 2.2.8. Vi anbefaler kraftigt, at du installerer disse fulde patches så hurtigt som muligt."

Hvor haster det? Dan Goodin ind Ars Technica sagde, at den nyere udvikling gjorde denne opfordring til patch meget presserende.

"Angrebskode blev offentliggjort i fredags, der udnytter en kritisk sårbarhed i Magento e-handelsplatformen, alt undtagen at garantere, at det vil blive brugt til at plante betalingskortskimmere på websteder, der endnu ikke har installeret en nyligt udgivet patch."

Magento betragtes som en populær e-handelsplatform. Hvor populær? Jeremy Kirk, BankInfoSecurity, bemærkede dets rapporterede tal - $155 milliarder i handel i 2018 og mere end 300, 000 virksomheder og købmænd, der bruger softwaren.

Ud af de identificerede mangler, den mest diskuterede på tech-watching-websteder har været SQL-injektionssårbarheden.

Sucuri Security talte om SQL-injektionsproblemet i Magento Core og advarede om, at fejlen var kritisk (CVSS 8.8) og nem at fjernudnytte, sagde Trusselpost .

(Common Vulnerability Scoring System-rammen vurderer alvoren af ​​sårbarheder, og 10 angiver den mest alvorlige.)

Marc-Alexandre Montpas, Sucuri sikkerhedsforsker, sagde, "vi opfordrer kraftigt Magento-brugere til at opdatere deres websteder til den seneste version af den filial, de bruger; enten 2.3.1, 2.2.8, eller 2.1.17."

For dem, der ikke er bekendt med SQL-injektionen, CSO sidste år sagde, at der er flere typer, "men de involverer alle en angriber, der indsætter vilkårlig SQL i en webapplikationsdatabaseforespørgsel." Det er en type angreb, der kan give en modstander kontrol over din webapplikationsdatabase ved at indsætte vilkårlig SQL -kode i en databaseforespørgsel. "

Constantin tilbød et større billede, hvor Magento blot er et eksempel på problemer i online shopping land:Antallet af angreb mod online butikker generelt er steget i løbet af det seneste år, han sagde, og nogle af grupperne er specialister i webskimming.

TechRadar :"Konkurrerende bander af cyberkriminelle har brugt de sidste seks måneder på at forsøge at inficere e-handelswebsteder med kortskimming-malware for at stjæle brugernes betalingsoplysninger." TechRadar påpegede også, at over 300, 000 virksomheder og handlende brugte platformens tjenester.

Hvad er webskimming? De skyldige injicerer "slyngelske scripts på computere for at fange kreditkortoplysninger, " som CSO Læg det.

Sidste år, Adobe havde annonceret aftale om at erhverve Magento Commerce-platformen. Nyhedsmeddelelsen beskrev platformen som "bygget på bevist, skalerbar teknologi understøttet af et pulserende fællesskab på mere end 300, 000 udviklere." Partnerens økosystem, sagde udgivelsen, "leverer tusindvis af forudbyggede udvidelser, inklusive betaling, Forsendelse, skat og logistik."

Jérôme Segura, førende malware-intelligensanalytiker hos Malwarebytes, fortalte Ars Technica på torsdag. "Når det kommer til hackede Magento-websteder, Webskimmere er den mest almindelige infektionstype, vi ser på grund af deres høje investeringsafkast."

Grupperne har specialiseret sig i at glide betalingskort, der skimmer malware ind på websteder, sagde Jeremy Kirk ind BankInfoSikkerhed .

© 2019 Science X Network