Patchar för en e-handelsplattform bör tillämpas omedelbart. Inga om, kanske, men, senare. Forskare säger att alla som använder Magento-plattformen bör uppgradera så snart som möjligt och mot bakgrund av hotet, så snart som möjligt betyder just nu.

E-handelsplattformen Magento har släppt patchar för 37 sårbarheter, Hotpost sa i fredags. Magento släppte fyra viktiga patchar, fyra högsvårighetskorrigeringar och 26 medelsvåra buggar och tre lågsvåra buggar i patchsammanfattningen.

Magento-versioner som påverkades var 2.1 före 2.1.17, Magento 2.2 före 2.2.8 och Magento 2.3 före 2.3.1.

Lucian Constantin i CSO listade precis vilka typer av aktiviteter angriparna kunde utföra om de utnyttjade bristerna:fjärrkörning av kod, SQL-injektion, cross-site scripting, privilegieupptrappning, informationsröjande och spam.

Dessa inkluderade brister som kunde ha låtit angripare ta över en webbplats och skapa nya administratörskonton.

Konstantin sa Magento, används av tusentals onlinebutiker, hade säkerhetsproblem som påverkade både de kommersiella och öppen källkodsversioner av sin plattform.

Den senaste utvecklingen är att Magento-plattformen snart kan möta attacker efter att hackare offentligt släppt kod som utnyttjar en sårbarhet i sina system, sa TechRadar , som skulle kunna användas för att plantera betalkortsskimmers på sajter som ännu inte har uppdaterats.

Försök att utnyttja e-handelssajter är obevekliga och detta visade sig vara en löpande historia. PRODSECBUG-2198 är namnet på SQL-injektionssårbarheten som angripare kan utnyttja utan behov av autentisering, om angripare försöker utnyttja.

KoDDoS skrev om SQL-injektionen utan behov av autentiseringsbugg och noterade att säkerhetsföretaget Sucuri "sa i ett blogginlägg att alla borde uppgradera omedelbart om de använder Magento."

Magentos webbplats presenterade Magento 2.3.1, 2.2.8 och 2.1.17 uppdatering, säger "En SQL-injektionssårbarhet har identifierats i Magento-koden före 2.3.1. För att snabbt skydda din butik från endast denna sårbarhet, installera patch PRODSECBUG-2198. Dock, för att skydda mot denna sårbarhet och andra, du måste uppgradera till Magento Commerce eller Open Source 2.3.1 eller 2.2.8. Vi rekommenderar starkt att du installerar dessa fullständiga patchar så snart du kan."

Hur brådskande är det? Dan Goodin in Ars Technica sade att den nyare händelseutvecklingen gjorde denna call-to-patch mycket brådskande.

"Attackkod publicerades på fredagen som utnyttjar en kritisk sårbarhet i Magento e-handelsplattform, allt utom garanterar att den kommer att användas för att plantera betalkortsskimmers på sajter som ännu inte har installerat en nyligen släppt patch."

Magento anses vara en populär e-handelsplattform. Hur populär? Jeremy Kirk, BankInfoSecurity, noterade dess rapporterade siffror - 155 miljarder dollar i handel 2018 och mer än 300, 000 företag och handlare som använder programvaran.

Av de identifierade bristerna, den mest diskuterade på tekniska tittarwebbplatser har varit SQL-injektionssårbarheten.

Sucuri Security pratade om SQL-injektionsproblemet i Magento Core och varnade att buggen var kritisk (CVSS 8.8) och lätt att fjärrexploatera, sa Hotpost .

(Ramverket Common Vulnerability Scoring System värderar svårighetsgraden av sårbarheter, och 10 indikerar den allvarligaste.)

Marc-Alexandre Montpas, Sucuri säkerhetsforskare, sa, "vi uppmuntrar starkt Magento-användare att uppdatera sina webbplatser till den senaste versionen av grenen de använder; antingen 2.3.1, 2.2.8, eller 2.1.17."

För de som inte känner till SQL-injektionen, CSO förra året sa att det finns flera typer, "men de involverar alla en angripare som infogar godtycklig SQL i en webbapplikationsdatabasfråga." Det är en typ av attack som kan ge en motståndare kontroll över din webbapplikationsdatabas genom att infoga godtycklig SQL-kod i en databasfråga."

Constantin erbjöd en större bildvy där Magento bara är ett exempel på problem i onlineshoppingland:Antalet attacker mot onlinebutiker i allmänhet har ökat under det senaste året, han sa, och några av grupperna är specialister på webbskimming.

TechRadar :"Konkurrerande gäng av cyberbrottslingar har ägnat de senaste sex månaderna åt att försöka infektera e-handelssajter med skadlig programvara för att stjäla användarnas betalningsuppgifter." TechRadar påpekade också att över 300, 000 företag och handlare använde plattformens tjänster.

Vad är webbskimming? De skyldiga injicerar "skurkliga skript på datorer för att fånga kreditkortsuppgifter, " som CSO Ställ det.

Förra året, Adobe hade meddelat ett avtal om att förvärva Magento Commerce-plattformen. Pressmeddelandet beskrev plattformen som "byggd på beprövad, skalbar teknologi som stöds av en levande gemenskap med mer än 300, 000 utvecklare." Partnerekosystemet, sa frisläppandet, "tillhandahåller tusentals förbyggda tillägg, inklusive betalning, frakt, skatt och logistik."

Jérôme Segura, ledande malware-intelligensanalytiker på Malwarebytes, berättade Ars Technica på torsdag. "När det kommer till hackade Magento-webbplatser, Webbskimmer är den vanligaste infektionstypen vi ser på grund av deras höga avkastning på investeringen."

Grupperna är specialiserade på att släppa in skadlig programvara på webbplatser med betalkort, sa Jeremy Kirk in BankInfoSecurity .

© 2019 Science X Network