Magento vá các lỗ hổng nghiêm trọng

Diễn đàn - Ngày đăng : 16:19, 05/04/2019

Các phiên bản mới (2.3.1, 2.2.8 và 2.1.17) của nền tảng thương mại điện tử Magento đã được phát hành vào cuối tuần trước để vá nhiều lỗ hổng, bao gồm lỗ hổng cấy mã SQL và thực thi mã từ xa nghiêm trọng.

Nghiêm trọng nhất là các lỗ hổng cấy mã SQL ảnh hưởng tới mã nguồn mở Magento (Magento Open Source) trước phiên bản 1.9.4.1, Magento Commerce trước phiên bản 1.14.4.1, Magento 2.1 trước phiên bản 2.1.17, Magento 2.2 trước phiên bản 2.2.8 và Magento 2.3 trước phiên bản 2.3.1.

Magento cho hay bằng việc khai thác lỗ hổng, kẻ tấn công chưa được xác thực có thể thực thi mã tùy ý dẫn đến rò rỉ dữ liệu nhạy cảm.

Lỗ hổng này rất dễ bị khai thác và người dùng cần sớm cập nhật bản vá mới được phát hành để ngăn chặn sự xâm phạm. Họ có thể xác minh xem mình có bị nhắm mục tiêu qua lỗ hổng này hay không bằng cách kiểm tra tệp tin access_log để biết số lần truy nhậpvào /catalog/product/frontend_action_synchronize.

Theo các nhà nghiên cứu của Ambionics Security, lỗ hổng bảo mật có thể bị khai thác để đọc bất kỳ thông tin gì từ cơ sở dữ liệu, nghĩa là tin tặc có thể trích xuất các phiên quản trị hoặc băm mật khẩu và sử dụng chúng để truy nhập backend.

Ilia Kolochenko, Giám đốc điều hành công ty High-Tech Bridge cho biết: “Lỗ hổng có thể bị khai thác mà không cần điều kiện trước nào, có khả năng đánh cắp toàn bộ cơ sở dữ liệu và kiểm soát dịch vụ web cũng như trang web có chứa lỗ hổng. Việc lây nhiễm phần mềm độc hại có thể đánh sập các trang web một khi tất cả dữ liệu có giá trị bị đánh cắp”.

Theo Ilia Kolochenko: “Magento được sử dụng nhiều nhất trên các trang web thương mại điện tử đáng tin cậy. Vì thế nó chứa lượng lớn thông tin cá nhân (PII) nhạy cảm bao gồm cả những thông tin về thẻ tín dụng hợp lệ”.

Ảnh hưởng đến Magento 2.1 trước phiên bản 2.1.17, Magento 2.2 trước phiên bản 2.2.8 và Magento 2.3 trước phiên bản 2.3.1, một lỗ hổng quan trọng khác cho phép người dùng đã được xác thực thực thi mã tùy ý thông qua bản tin lừa đảo đặc biệt hoặc mẫu code (mã) của email.

Ngoài ra, còn có một lỗ hổng thưc thi mã từ xa khác có thể bị khai thác bởi một người dùng được xác thực với các quyền quản trị thông qua những mẫu email. Lỗ hổng cũng đã được xử lý trong tháng này.

Ảnh hưởng tới Magenteo 2.1 phiên bản 2.1.17 trở về trước, Magento 2.2 từ phiên bản 2.2.8 trở về trước và Magento 2.3 từ phiên bản 2.3.1 trở về trước, lỗ hổng nghiêm trọng thứ 4 là một SQL Injection và lỗ hổng XSS trong Catalog (danh mục).

Magento cho biết: “Một người dùng được xác thực có thể nhúng mã của phần mềm độc hại thông qua lỗ hổng XSS hoặc lỗ hổng cấy SQL trong Catalog”.

Tuần này, Magento đã xử lý các lỗ hổng thực thi mã từ xa nghiêm trọng khác, cùng với các lộ lọt thông tin, Cross Site Scripting, leo thang đặc quyền, lợi dụng các quyền và những lỗ hổng CSRF (Cross Site Request Forgery - tấn công bằng cách sử dụng quyền chứng thực).

Kolochenko cho biết: “Tất cả những người sở hữu trang web của Magento cần cập nhật ngay các hệ thống của họ, kiểm tra máy chủ web và tất cả những đăng nhập sẵn sàng cho IoC (indicator of compromise). Trong trường hợp có nghi ngờ có thể nhờ đến cơ quan giám định để xác định hệ thống có bị xâm phạm hay không. Ngày nay, tội phạm mạng biết cách làm thế nào để che giấu những hoạt động của chúng, tuy nhiên không thể nào giấu hết được những bằng chứng và do vậy chúng vẫn bị bại lộ".

Magento được xem là nền tảng công nghệ số tiên tiến nhất cho lĩnh vực TMĐT, Magento hiện đang chiếm giữ một số lượng khách hàng trung thành đông đảo từ khắp nơi trên thế giới. Những người yêu thích Magento có một phạm vi cũng vô cùng rộng lớn, từ các chủ cửa hàng đơn lẻ cho tới tập đoàn đa quốc gia lớn mạnh như Nikes, Coca-Cola, Samsung, Ford, Olympus, …, và danh sách này vẫn còn đang tiếp tục kéo dài thêm nữa.

Linh Anh