`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

250 тыс. онлайновых магазинов на базе Magento открыто для взлома

+11
голос
250 тыс. онлайновых магазинов на базе Magento открыто для взлома

Исследователи из фирмы DefenseCode, предоставляющей консультационные услуги в сфере информационной безопасности, обнаружили уязвимость в платформе онлайновой коммерции Magento, позволяющую хакерам загружать и запускать вредоносные программы на веб-серверах, где размещены магазины.

Magento позволяет добавлять в описание товара видеоролики Vimeo, а точнее картинку-preview со ссылкой на само видео. В случае, когда веб-адрес изображения указывает на другой файл, например, на сценарий PHP, Magento загружает этот файл для его проверки. Если файл действительно не является изображением, платформа выдаёт предупреждение о «недопустимом типе файла», однако не удаляет его с сервера.

Использующий новый эксплойт хакер сначала заставляет Magento загрузить конфигурационный файл .htaccess, разрешающий запускать PHP из папки загрузки, а затем — собственно вредоносный скрипт.

Оказавшись на сервере, хакерская программа обеспечивает обход аутентификации и может быть запущена извне через браузер. Злоумышленники могут с её помощью просматривать серверные папки и считывать пароли баз данных из конфигурационного файла Magento. Это открывает для них хранящиеся там сведения о клиентах, которые могут носить весьма конфиденциальный характер.

Эта уязвимость не может использоваться напрямую, так как функция подключения видео требует аутентификации (опция «Add Secret Key to URLs» активирована по умолчанию). Это значит, что хакер должен иметь учётную запись на атакуемом веб-сайте. Впрочем, для взлома ему не обязательно быть администратором, достаточно рядовой регистрации с низкими привилегиями.

DefenseCode предупреждает, что для такой атаки достаточно строчки <img src=… в письме e-mail или в комментариях на веб-странице. Нажатие на неё автоматически инициирует загрузку произвольного файла если пользователь в этот момент находится в Magento.

Разработчики Magento были уведомлены об этой проблеме ещё в ноябре прошлого года, но вышедшие с тех пор версии Magento Community Edition (CE), включая последнюю, выложенную в этот вторник, остаются уязвимы к данному эксплойту. Поэтому, DefenseCode рекомендует администраторам уязвимых серверов, не дожидаясь выхода патча, вручную запретить файлы .htaccess в указанных папках.

Magento используют свыше четверти миллиона онлайновых розничных торговцев, что делает эту платформу привлекательной мишенью для атак хакеров. В прошлом году в тысячах интернет-магазинов на базе Magento был обнаружен вредоносный код, считывавший данные карточек при оплате покупок.

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT