關(guān)鍵的magento-sql注入漏洞很快就會被黑客攻擊

admin

流行的電子商務(wù)平臺Magento發(fā)布了安全補(bǔ)丁來修復(fù)該漏洞。研究人員說現(xiàn)在更新。

數(shù)千家在線商店使用的Magento內(nèi)容管理系統(tǒng)已收到對幾個嚴(yán)重漏洞的修復(fù)，包括一個未經(jīng)驗(yàn)證的SQL注入漏洞，該漏洞可能很快成為攻擊者的目標(biāo)。
自2018年起，Adobe旗下公司Magento發(fā)布了37個安全問題的安全補(bǔ)丁，這些安全問題影響到了其平臺的商業(yè)版本和開源版本。利用這些缺陷可以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行、SQL注入、跨站點(diǎn)腳本、權(quán)限提升、信息公開和垃圾郵件發(fā)送。
四個漏洞在通用漏洞評分系統(tǒng)（CVSS）中的得分高于9，這意味著它們是關(guān)鍵的。其中一個SQL注入缺陷是研究人員特別關(guān)注的問題，因?yàn)樗�可以在沒有身份驗(yàn)證的情況下被利用�！本W(wǎng)站安全公司Sucuri的研究人員在一篇博客文章中說：“SQL漏洞很容易被利用，我們鼓勵每個magento網(wǎng)站的所有者更新這些最近修補(bǔ)的版本，以保護(hù)他們的電子商務(wù)網(wǎng)站�！�
研究人員已經(jīng)對補(bǔ)丁進(jìn)行了逆向工程，并為內(nèi)部測試創(chuàng)建了一個有效的概念驗(yàn)證工具。他們還沒有公開發(fā)布它，但很可能攻擊者很快就會發(fā)現(xiàn)如何利用這個漏洞。
一個廣受歡迎的黑客目標(biāo)
由于其受歡迎程度和處理的敏感客戶數(shù)據(jù)，Magento平臺是黑客的一個吸引人的目標(biāo)，并且在過去的很多次攻擊中都是目標(biāo)。在過去的一年里，針對網(wǎng)上商店的攻擊數(shù)量總體上有所增加，一些專門從事網(wǎng)絡(luò)瀏覽的黑客團(tuán)體在電腦上注入流氓腳本，以獲取信用卡的詳細(xì)信息。
SQL注入漏洞允許向數(shù)據(jù)庫中注入數(shù)據(jù)或從數(shù)據(jù)庫中讀取信息。即使這個特定的缺陷不能被用來直接感染一個網(wǎng)站，它也有可能讓攻擊者訪問一個網(wǎng)站上的帳戶。然后可以使用該訪問來利用此版本中修補(bǔ)的需要身份驗(yàn)證的其他特權(quán)升級或代碼執(zhí)行缺陷之一。
Sucuri的研究人員警告說：“未經(jīng)身份驗(yàn)證的攻擊，如在這個特定的SQL注入漏洞中所看到的攻擊，是非常嚴(yán)重的，因?yàn)樗鼈兛梢宰詣舆M(jìn)行，使得黑客很容易對易受攻擊的網(wǎng)站發(fā)起成功、廣泛的攻擊�！被顒影惭b的數(shù)量、易受攻擊性和成功攻擊的影響是導(dǎo)致此漏洞特別危險的原因�！�
建議Magento Commerce和Magento開源用戶升級到新發(fā)布的版本2.3.1、2.2.8和2.1.17，具體取決于他們使用的分支機(jī)構(gòu)。為了在不部署完整更新的情況下快速保護(hù)其站點(diǎn)，用戶還可以選擇僅手動安裝SQL注入缺陷（prodsecbug-2198）的補(bǔ)丁。但是，完全更新不應(yīng)該延遲很長時間。
根據(jù)Sucuri的說法，站點(diǎn)管理員還應(yīng)該監(jiān)視他們的訪問日志，查看是否有/catalog/product/frontend_action_synchronize path的點(diǎn)擊。對該路徑的偶爾請求可能是合法的，但在短時間內(nèi)大量來自同一IP地址的請求應(yīng)被視為可疑請求，并可能是利用此漏洞的嘗試。