Magento電子商務(wù)平臺(tái)中的未修補(bǔ)的漏洞可能允許黑客在托管網(wǎng)上商店的網(wǎng)絡(luò)服務(wù)器上上傳并執(zhí)行惡意代碼。
該漏洞由安全顧問(wèn)DefenseCode的研究人員發(fā)現(xiàn),該功能可以檢索Vimeo上托管的視頻的預(yù)覽圖像。這樣的視頻可以添加到Magento的產(chǎn)品列表。
DefenseCode研究人員確定,如果圖像URL指向不同的文件,例如PHP腳本,Magento將下載文件以驗(yàn)證它。如果文件不是圖像,平臺(tái)將返回“不允許的文件類型”錯(cuò)誤,但實(shí)際上不會(huì)將其從服務(wù)器中刪除。
有權(quán)利利用此漏洞的攻擊者可以通過(guò)首先欺騙Magento來(lái)下載.htaccess配置文件,從而在下載目錄中執(zhí)行PHP,然后下載惡意PHP文件本身,可以實(shí)現(xiàn)遠(yuǎn)程執(zhí)行代碼。
一旦在服務(wù)器上,PHP腳本可以作為后門,并可以通過(guò)將瀏覽器指向外部位置從外部訪問(wèn)。例如,攻擊者可以使用它來(lái)瀏覽服務(wù)器目錄,并從Magento的配置文件中讀取數(shù)據(jù)庫(kù)密碼。這可以揭示存儲(chǔ)在數(shù)據(jù)庫(kù)中的客戶信息,這對(duì)于客戶來(lái)說(shuō)是非??膳碌?。
唯一的限制是,此漏洞無(wú)法直接利用,因?yàn)橐曨l鏈接功能需要身份驗(yàn)證。這意味著攻擊者需要訪問(wèn)目標(biāo)網(wǎng)站上的帳戶,但這可能是一個(gè)較低權(quán)限的用戶,而不一定是管理員。
如果網(wǎng)站沒(méi)有啟用“添加秘密密鑰URL”選項(xiàng),也可以輕松克服身份驗(yàn)證障礙。此選項(xiàng)旨在防止跨站點(diǎn)請(qǐng)求偽造(CSRF)攻擊,并默認(rèn)啟用。
CSRF是一種攻擊技術(shù),涉及強(qiáng)制用戶瀏覽器在訪問(wèn)不同網(wǎng)站時(shí)在網(wǎng)站上執(zhí)行未經(jīng)授權(quán)的請(qǐng)求。
DefenseCode研究人員在一份咨詢文章中說(shuō):“攻擊可以在電子郵件或公共留言板中簡(jiǎn)單地構(gòu)建為img src = ...,如果用戶當(dāng)前登錄到Magento,它將自動(dòng)觸發(fā)任意文件上傳。“攻擊者還可以誘使用戶使用社交登錄來(lái)開展CSRF鏈接。”
這意味著,只要點(diǎn)擊電子郵件中的鏈接或訪問(wèn)特制網(wǎng)頁(yè),在瀏覽器中啟用Magento會(huì)話的用戶可能會(huì)將其帳戶暴露。
DefenseCode研究人員聲稱,他們已經(jīng)在去年11月份向Magento開發(fā)者報(bào)告了這些問(wèn)題,但從那時(shí)起沒(méi)有收到關(guān)于修補(bǔ)計(jì)劃的信息。
Magento社區(qū)版(CE)的幾個(gè)版本自11月份發(fā)布以來(lái),最近的版本是周二的2.1.6。根據(jù)DefenseCode,所有Magento CE版本仍然是脆弱的有缺陷的。
Magento在一封電子郵件的聲明中說(shuō):“我們一直在積極調(diào)查所報(bào)告問(wèn)題的根本原因,“我們將在下一個(gè)補(bǔ)丁版本中解決這個(gè)問(wèn)題,并繼續(xù)努力改進(jìn)我們的程序。”
DefenseCode研究人員說(shuō):“強(qiáng)烈建議所有用戶強(qiáng)制使用”添加秘密密鑰到URL“,減輕CSRF攻擊向量。“為防止通過(guò)任意文件上傳遠(yuǎn)程執(zhí)行代碼,服務(wù)器應(yīng)配置為不受影響目錄中的.htaccess文件。
Magento目前被超過(guò)25萬(wàn)個(gè)在線零售商使用,成為黑客最有吸引力的攻擊目標(biāo)。去年,研究人員發(fā)現(xiàn)了數(shù)以千計(jì)的Magento網(wǎng)上商店遭到入侵和感染惡意代碼,。