Patches voor een e-commerceplatform moeten onmiddellijk worden toegepast. nee als, misschien, maar, later. Onderzoekers zeggen dat iedereen die het Magento-platform gebruikt, zo snel mogelijk moet upgraden en in het licht van de dreiging, zo snel mogelijk betekent nu meteen.

Het e-commerceplatform Magento heeft patches uitgebracht voor 37 kwetsbaarheden, Dreigingspost zei vrijdag. Magento heeft vier kritieke patches uitgebracht, vier patches met hoge ernst en 26 bugs met gemiddelde ernst en drie bugs met lage ernst in de patch-verzameling.

De getroffen Magento-versies waren 2.1 vóór 2.1.17, Magento 2.2 vóór 2.2.8 en Magento 2.3 vóór 2.3.1.

Lucian Constantin in CSO vermeldde precies welke soorten activiteiten de aanvallers zouden kunnen uitvoeren als ze misbruik maken van de fouten:uitvoering van externe code, SQL injectie, cross-site scripting, privilege escalatie, openbaarmaking van informatie en spamming.

Deze omvatten fouten waardoor aanvallers een site konden overnemen en nieuwe beheerdersaccounts konden maken.

Constantin zei Magento, gebruikt door duizenden online winkels, had beveiligingsproblemen die zowel de commerciële als de open-sourceversie van zijn platform aantasten.

De nieuwste ontwikkeling is dat het Magento-platform binnenkort te maken kan krijgen met aanvallen nadat hackers code openbaar hebben gemaakt die misbruik maakt van een kwetsbaarheid in zijn systemen. zei TechRadar , die kunnen worden gebruikt om skimmers voor betaalkaarten te plaatsen op sites die nog niet zijn bijgewerkt.

Pogingen om e-commercesites te exploiteren zijn meedogenloos en dit bleek een doorlopend verhaal te zijn. PRODSECBUG-2198 is de naam van de kwetsbaarheid voor SQL-injectie die aanvallers kunnen misbruiken zonder authenticatie, als aanvallers een exploit proberen.

KoDDoS schreef over de SQL-injectie zonder de noodzaak van een authenticatiebug en merkte op dat het Sucuri-beveiligingsbedrijf "in een blogpost zei dat iedereen onmiddellijk moet upgraden als ze Magento gebruiken."

Magento's site presenteerde de Magento 2.3.1, 2.2.8 en 2.1.17 bijwerken, zeggen "Er is een kwetsbaarheid voor SQL-injectie geïdentificeerd in Magento-code vóór 2.3.1. Om uw winkel snel te beschermen tegen alleen deze kwetsbaarheid, installeer patch PRODSECBUG-2198. Echter, om u te beschermen tegen deze kwetsbaarheid en andere, u moet upgraden naar Magento Commerce of Open Source 2.3.1 of 2.2.8. We raden u ten zeerste aan deze volledige patches zo snel mogelijk te installeren."

Hoe dringend is dringend? Dan Goodin in Ars Technica zei dat de nieuwere gang van zaken deze call-to-patch zeer urgent maakte.

"Vrijdag werd aanvalscode gepubliceerd die misbruik maakt van een kritieke kwetsbaarheid in het Magento e-commerceplatform, alles behalve garanderend dat het zal worden gebruikt om skimmers voor betaalkaarten te plaatsen op sites die nog een recent uitgebrachte patch moeten installeren."

Magento wordt beschouwd als een populair e-commerceplatform. Hoe populair? Jeremy Kirk, BankInfoBeveiliging, noteerde de gerapporteerde cijfers - $ 155 miljard aan handel in 2018 en meer dan 300, 000 bedrijven en handelaren die de software gebruiken.

Van de geconstateerde gebreken, de meest besproken op tech-watching-sites was de kwetsbaarheid voor SQL-injectie.

Sucuri Security sprak over het SQL-injectieprobleem in Magento Core en waarschuwde dat de bug kritiek was (CVSS 8.8) en gemakkelijk op afstand te exploiteren was, zei Dreigingspost .

(Het Common Vulnerability Scoring System-framework beoordeelt de ernst van kwetsbaarheden, en 10 geeft de meest ernstige aan.)

Marc-Alexandre Montpas, Sucuri Beveiligingsonderzoeker, zei, "we raden Magento-gebruikers ten zeerste aan om hun sites bij te werken naar de nieuwste versie van de branch die ze gebruiken; ofwel 2.3.1, 2.2.8, of 2.1.17."

Voor degenen die niet bekend zijn met de SQL-injectie, CSO vorig jaar zei dat er verschillende soorten zijn, "maar ze hebben allemaal betrekking op een aanvaller die willekeurige SQL invoegt in een databasequery van een webtoepassing." Het is een type aanval dat een aanvaller controle kan geven over uw webtoepassingsdatabase door willekeurige SQL-code in een databasequery in te voegen."

Constantin bood een groter beeld, waarbij Magento slechts één voorbeeld is van problemen in online winkelland:het aantal aanvallen op online winkels in het algemeen is het afgelopen jaar toegenomen, hij zei, en sommige van de groepen zijn specialisten in webskimming.

TechRadar :"Concurrerende bendes cybercriminelen hebben de afgelopen zes maanden geprobeerd e-commercesites te infecteren met card skimming-malware om de betalingsgegevens van gebruikers te stelen." TechRadar wees er ook op dat meer dan 300 000 bedrijven en handelaars maakten gebruik van de diensten van het platform.

Wat is webskimmen? De daders injecteren "rogue scripts op computers om creditcardgegevens vast te leggen, " als CSO zet het.

Vorig jaar, Adobe had een overeenkomst aangekondigd om het Magento Commerce-platform over te nemen. Het persbericht beschreef het platform als "gebouwd op bewezen, schaalbare technologie ondersteund door een levendige gemeenschap van meer dan 300, 000 ontwikkelaars." Het partnerecosysteem, zei de vrijlating, "biedt duizenden vooraf gebouwde extensies, inclusief betaling, Verzending, belasting en logistiek."

Jérôme Segura, lead malware intelligence analist bij Malwarebytes, vertelde Ars Technica op donderdag. "Als het gaat om gehackte Magento-websites, Webskimmers zijn het meest voorkomende infectietype dat we zien vanwege hun hoge investeringsrendement."

De groepen zijn gespecialiseerd in het smokkelen van malware voor het skimmen van betaalkaarten op sites, zei Jeremy Kirk in BankInfoBeveiliging .

© 2019 Wetenschap X Netwerk