Una versión popular de la plataforma de comercio electrónico Magento de código abierto es vulnerable a una vulnerabilidad de ejecución remota de código cero, que pone en riesgo a 200.000 minoristas en línea. La advertencia viene de la firma de seguridad DefenseCode, que encontró y reportó originalmente la vulnerabilidad a Magento en noviembre.
“Durante la auditoría de seguridad de Magento Community Edition, se descubrió una vulnerabilidad de alto riesgo que podría conducir a la ejecución remota de código y, por lo tanto, al compromiso del sistema completo incluyendo la base de datos que contiene información confidencial del cliente, como números de tarjetas de crédito almacenados y otra información de pago”, escribió DefenseCode. En una descripción técnica de su descubrimiento (PDF) publicado el miércoles.
Según Bosko Stankovic, ingeniero de seguridad de la información en DefenseCode, a pesar de los reiterados esfuerzos por notificar a Magento, que comenzó en noviembre de 2016, la vulnerabilidad sigue sin ser revisada a pesar de cuatro actualizaciones de la versión desde la divulgación. Las versiones afectadas del software Magento Community Edition incluyen v. 2.1.6 y siguientes. DefenseCode no examinó Magento Enterprise, la versión comercial de la plataforma, pero advierte que ambos comparten el mismo código vulnerable subyacente.
“No estamos seguros de si esta vulnerabilidad esta explota ndose activamente en estado salvaje, pero como la vulnerabilidad ha estado desprotegida durante tanto tiempo, proporciona una ventana de oportunidad para posibles hackers”, dijo Stankovic.
Magento confirmó la existencia de la falla en una breve declaración a Threatpost y dijo que estaba investigando.
“Hemos estado investigando activamente la causa raíz de la edición divulgada y no somos conscientes de ningunos ataques en el salvaje. Estaremos abordando el tema en nuestro próximo lanzamiento de parches y continuaremos trabajando constantemente para mejorar nuestros procesos de aseguramiento “, dijo Magento en un comunicado.
La vulnerabilidad de ejecución remota de código (RCE) esta ligada a la función predeterminada de Magento Community Edition, que permite a los administradores agregar contenido de vídeo Vimeo a las descripciones de los productos.
“Al agregar contenido de video de Vimeo a un producto nuevo o existente, la aplicación recuperara automa ticamente una imagen de vista previa para el vídeo a través de la solicitud POST tomando un para metro de URL de imagen remota. El método de la petición se puede cambiar a GET, así que la petición puede ser enviada, “los estados consultivos.
Si una URL apunta a una imagen no va lida (por ejemplo, un archivo PHP), la aplicación respondera con un error. Sin embargo, el archivo se descargara independientemente, DefenceCode estados. “La aplicación guarda el archivo para validar la imagen, pero no la eliminara si falla la validación”, dijo el investigador.
La información del archivo de imagen se analiza y se guarda en un directorio que puede crear condiciones adecuadas para un RCE que utiliza un script PHP. “Para lograr una ejecución remota de código, se deben descargar dos archivos. Uno es un archivo .htaccess que permitira la ejecución de PHP en el directorio de descarga, el otro es un script PHP para ser ejecutado “, dijeron los investigadores.
Un escenario probable que explote esta vulnerabilidad incluye un atacante dirigido a un usuario del panel de administración Magento (no importa cua n bajos sean sus privilegios). El atacante podría atraer al administrador para que visite una URL que desencadena un ataque de falsificación de solicitud en varios sitios. Si tiene éxito, el archivo .htaccess y el script PHP juntos pueden crear condiciones que permitan a un atacante ejecutar código remoto en la instalación de Magento Community Edition.
A continuación, un adversario puede formular varias estrategias de ataque que conducen ra pidamente a ejecutar comandos del sistema, interactuar con la base de datos o asumir toda la base de datos junto con números de tarjeta de crédito almacenados y otra información de pago o instalar malware en el servidor.
Hasta que Magento se ocupe de la vulnerabilidad, DefenseCode recomienda imponer el uso de “Añadir clave secreta a las URL” dentro de Magento, que mitiga el vector de ataque CSRF, dijeron los investigadores.
FUENTE: https://threatpost.com