Nacionalni CERT

Ranjivost Magento online trgovine

Sigurnosni stručnjaci iz tvrtke DefenseCode otkrili su ranjivost na platformi za e-trgovinu Magento koja napadačima dozvoljava postavljanje i pokretanje zlonamjernog koda na poslužiteljima online trgovina.

Neotklonjena ranjivost nalazi se u funkcionalnosti koja dohvaća naslovne slike za video sadržaj objavljen na usluzi Vimeo. U slučaju kada URL fotografije pokazuje na neku drugu datoteku, na primjer PHP skriptu, Magento će je svejedno preuzeti kako bi je ovjerio. Ako se ne radi o slikovnoj datoteci, pojavit će se "Disallowed file type" obavijest, no datoteka neće biti uklonjena s poslužitelja. Potencijalni napadač ovu ranjivost mogao bi iskoristiti za izvršavanje proizvoljnog programskog koda tako da najprije navede Magento na preuzimanje .htaccess konfiguracijske datoteke koja omogućava pokretanje PHP skripte unutar mape za preuzimanje, a zatim preuzme zlonamjernu PHP datoteku. PHP datoteka, kada dođe do poslužitelja, djeluje kao backdoor i omogućava udaljeni pristup što napadačima pruža mogućnost otkrivanja povjerljivih informacija.

Ranjivost je moguće iskoristiti jedino ako napadač ima pristup korisničkom računu na zahvaćenom web sjedištu. Korisnici svoje podatke mogu učiniti dostupnima ako posjete posebno oblikovanu web stranicu, a u pozadini imaju pokrenutu uslugu Magento.

Magento u pisanoj izjavi navodi da istražuju navedeni propust te nisu upoznati sa slučajevima u kojima je došlo do uspješnog iskorištavanja ranjivosti te da će je otkloniti u jednoj od sljedećih nadogradnji. Stručnjaci iz tvrtke DefenseCode savjetuju svim korisnicima da koriste opciju "Add Secret Key to URLs" kako bi smanjili razinu prijetnje.

13.04.2017