关键的magento-sql注入漏洞很快就会被黑客攻击
流行的电子商务平台Magento发布了安全补丁来修复该漏洞。研究人员说现在更新。数千家在线商店使用的Magento内容管理系统已收到对几个严重漏洞的修复,包括一个未经验证的SQL注入漏洞,该漏洞可能很快成为攻击者的目标。
自2018年起,Adobe旗下公司Magento发布了37个安全问题的安全补丁,这些安全问题影响到了其平台的商业版本和开源版本。利用这些缺陷可以实现远程代码执行、SQL注入、跨站点脚本、权限提升、信息公开和垃圾邮件发送。
四个漏洞在通用漏洞评分系统(CVSS)中的得分高于9,这意味着它们是关键的。其中一个SQL注入缺陷是研究人员特别关注的问题,因为它可以在没有身份验证的情况下被利用。”网站安全公司Sucuri的研究人员在一篇博客文章中说:“SQL漏洞很容易被利用,我们鼓励每个magento网站的所有者更新这些最近修补的版本,以保护他们的电子商务网站。”
研究人员已经对补丁进行了逆向工程,并为内部测试创建了一个有效的概念验证工具。他们还没有公开发布它,但很可能攻击者很快就会发现如何利用这个漏洞。
一个广受欢迎的黑客目标
由于其受欢迎程度和处理的敏感客户数据,Magento平台是黑客的一个吸引人的目标,并且在过去的很多次攻击中都是目标。在过去的一年里,针对网上商店的攻击数量总体上有所增加,一些专门从事网络浏览的黑客团体在电脑上注入流氓脚本,以获取信用卡的详细信息。
SQL注入漏洞允许向数据库中注入数据或从数据库中读取信息。即使这个特定的缺陷不能被用来直接感染一个网站,它也有可能让攻击者访问一个网站上的帐户。然后可以使用该访问来利用此版本中修补的需要身份验证的其他特权升级或代码执行缺陷之一。
Sucuri的研究人员警告说:“未经身份验证的攻击,如在这个特定的SQL注入漏洞中所看到的攻击,是非常严重的,因为它们可以自动进行,使得黑客很容易对易受攻击的网站发起成功、广泛的攻击。”活动安装的数量、易受攻击性和成功攻击的影响是导致此漏洞特别危险的原因。”
建议Magento Commerce和Magento开源用户升级到新发布的版本2.3.1、2.2.8和2.1.17,具体取决于他们使用的分支机构。为了在不部署完整更新的情况下快速保护其站点,用户还可以选择仅手动安装SQL注入缺陷(prodsecbug-2198)的补丁。但是,完全更新不应该延迟很长时间。
根据Sucuri的说法,站点管理员还应该监视他们的访问日志,查看是否有/catalog/product/frontend_action_synchronize path的点击。对该路径的偶尔请求可能是合法的,但在短时间内大量来自同一IP地址的请求应被视为可疑请求,并可能是利用此漏洞的尝试。
页:
[1]