Bug in casa Adobe: questa volta tocca a Commerce e Magento

Un bug di esecuzione di codice remoto (RCE) zero-day nelle piattaforme Magento 2 e Adobe Commerce è stato attivamente sfruttato in natura provocando l'implementazione di una patch di emergenza durante il fine settimana.

Il bug di vulnerabilità della sicurezza ( CVE-2022-24086 ) è un problema critico, poiché consente la preautenticazione RCE derivante da una convalida impropria dell'input.

Ha un punteggio di 9,8 su 10 nella scala di gravità della vulnerabilità CVSS, ma c'è un fattore attenuante: un utente malintenzionato dovrebbe disporre dei privilegi di amministratore per avere successo.

Le versioni a rischio di Adobe

Secondo l'avviso, il bug influisce sulle versioni 2.3.7-p2 e precedenti e 2.4.3-p1 e precedenti di entrambe le piattaforme di eCommerce.

Secondo SanSec, che ha approfondito la correzione dei bug su Magento, dovrebbe essere preso in considerazione quanto segue:

• Se stai utilizzando Magento 2.3 o 2.4, installa la patch personalizzata da Adobe il prima possibile, idealmente entro le prossime ore;
• Per una versione di Magento 2 tra la 2.3.3 e la 2.3.7, dovresti essere in grado di applicare manualmente la patch, poiché riguarda solo poche righe;
• Nel caso di utilizzo di Magento 2.3.3 o versioni precedenti, non sei direttamente vulnerabile. Tuttavia, SanSec consiglia comunque di implementare manualmente la patch data.

SanSec ha notato lunedì che il bug è venuto alla luce il 27 gennaio. Da un'analisi approfondita è emerso che "questa vulnerabilità ha una gravità simile alla vulnerabilità Magento Shoplift del 2015. A quel tempo, quasi tutti i negozi Magento senza patch a livello globale erano stati compromessi nei giorni successivi all'exploit pubblicazione".

Aggiorna il prima possibile per evitare gli attacchi

In effetti, l'aggiornamento è importante per i commercianti online: il gruppo Magecart prende di mira in particolare le versioni senza patch di Magento, alla ricerca di un modo per installare skimmer per carte di credito nelle pagine di pagamento dei siti Web di eCommerce.

L'attore della minaccia, che in realtà è un consorzio di molti diversi sottogruppi di raccolta di carte, evolve costantemente i suoi skimmer per essere più efficaci ed efficienti anche nell'evasione.

Ad esempio, a novembre, ha aggiunto un processo browser aggiuntivo. Questo utilizza l'API JavaScript WebGL per controllare la macchina di un utente. Non solo, l'implementazione si assicura che non sia in esecuzione su una macchina virtuale, eludendo così il rilevamento dei ricercatori.

A gennaio poi, un attacco al Segway riuscì a comportare l'installazione dello skimmer utilizzando una favicon che i sistemi di sicurezza tradizionali non avrebbero ispezionato.