Kritická chyba v Magento je stále aktuální pro více jak polovinu instalací

Bezpečnost, ,

Magento je jedno z nejpopulárnějších open source řešení pro eshop. I když se jedná o masivní eCommerce platformu, kterou jen tak nenainstalujete na běžný webhosting (na instalaci je potřeba 256 MB RAM a pro běh doporučeno 512 MB), jeho obliba u online podnikatelů stále roste. A to platí i pro podnikatele z České Republiky. Ovšem teď má mnoho z nich velký problém.

Magento momentálně trpí na velmi nepříjemnou zranitelnost RCE (Remote Code Execution). To znamená, že útočník může spustit soubor, který tam nahraje. To mu umožní získat přístup k datem zákazníků, včetně případných čísel kreditních karet. V podstatě může udělat cokoliv se mu zlíbí, protože má plnou kontrolu nad instalací.

Jak to už bývá nejedná se však o nic jednoduchého. Aby se útočníkovi tento útok povedl, musí postupně zneužít několik bezpečnostních slabin a chyb. Na druhou stranu přes eshopy tečou slušné peníze a to přitahuje dobře vyškolené organizované skupiny, které se na to specializují.

Výsledkem úspěšného útoku je úplné ovládnutí kompletně celé instalace, které si nemusíte vůbec všimnout. Vaše instalace může být kompromitována i měsíce. Útočníci mohou dokonce pozměnit libovolnou část kódu. Nehrozí jen odcizení dat, ale i změna cen produktů, vytvoření různých slevových kupónů anebo falešné „zaplacení“ zboží. V horším případě se váš eshop stane součástí organizované sítě, přes kterou se prodává nelegální zboží anebo podvádí zákazníci.

V případě, že se dojde k úspěšnému útoku je velice pravidelné, že do instalace bude umístěn backdoor. Ten umožní útočníkům, kdykoliv útok zopakovat i když bude aplikována záplata.

Tyto bezpečnostní chyby byly naštěstí odstraněny v patch SUPEE-5344, který byl vydán už 9. února 2015. Ovšem doposud více jak polovina instalací jej neaplikovala. Jsou tak stále ohrožené.

Zranitelnost objevili bezpečnostní experti z Check Point v lednu tohoto roku. Hodnotí jí jako vysoce kritickou. Společně se zprávou, také vytvořili sérii doporučení pro vývojáře Magento. Ti reagovali velice rychle a aktualizace byla připravená už začátkem února.

Share Button

Tento článek byl byl přečten 2214 krát

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *