Cuidado: Magento adverte sites de comércio eletrônico para atualizar o mais rápido possível para evitar ataques

Cuidado: Magento adverte sites de comércio eletrônico para atualizar o mais rápido possível para evitar ataques

13 de novembro de 2019 0 Por Suporte Rede Digital

A plataforma é um alvo favorito do coletivo Magecart de grupos de ameaças que desnatam cartões.

A popular plataforma de comércio eletrônico Magento está instando os administradores da Web a instalar sua mais recente atualização de segurança para se defender contra ataques maliciosos que possam explorar uma vulnerabilidade crítica à execução remota de código.

Embora a empresa não tenha especificado quais tipos de ataques em potencial os sites deveriam se preocupar (Threatpost entrou em contato para comentar sobre isso), o Magento é um alvo comum para a associação de grupos de ameaças Magecart , que compromete sites construídos em e-commerce sem patches. plataformas para injetar scripts de leitura de cartões nas páginas de checkout. Os scripts roubam os detalhes do cartão de pagamento dos clientes e outras informações inseridas nos campos da página.

A vulnerabilidade ( CVE-2019-8144 ), que possui uma classificação de gravidade de 10 em 10 na escala CVSS v.3, pode permitir que um usuário não autenticado insira uma carga maliciosa no site de um comerciante através dos métodos de modelo do Page Builder e execute isto. O Page Builder permite que os sites projetem atualizações de conteúdo, visualizem-nas ao vivo e planejem que sejam publicadas. O bug existe especificamente na função de visualização.

A falha afeta o Magento 2.3 e foi corrigida no Magento Commerce 2.3.3 e com o patch apenas de segurança 2.3.2-p2, lançado em outubro . A empresa alertou que o patch terá o efeito colateral de “impedir que os administradores visualizem pré-visualizações de produtos, blocos e blocos dinâmicos”; mas disse que reativará a funcionalidade de visualização o mais rápido possível.

“Recomendamos que todos os comerciantes, mesmo aqueles que já fizeram o upgrade para o 2.3.3 ou tenham aplicado o patch apenas de segurança 2.3.2-p2, revisem a segurança do site Magento para confirmar que não estavam potencialmente comprometidos antes da atualização”, Piotr Kaminski da equipe de segurança Magento escreveu em uma postagem na segunda-feira. “A aplicação dessa correção ou atualização … ajudará a defender sua loja contra possíveis ataques daqui para frente, mas não abordará os efeitos de um ataque anterior.”

A mesma atualização corrige várias outras falhas críticas de execução de emote com uma pontuação CVSS v.3 igual a 9 e acima, além de problemas de script entre sites (CSS).

O aviso ocorre quando a atividade e a infraestrutura do Magecart continuam saturando a web. De acordo com análise do RiskIQ no mês passado, agora existem 573 domínios de comando e controle (C2) conhecidos para o grupo, com cerca de 10.000 hosts carregando ativamente esses domínios. Ao todo, o RiskIQ detectou quase 2 milhões (2.086.529) de instâncias dos binários javaScript da Magecart, com mais de 18.000 hosts de comércio eletrônico violados diretamente.

“É lamentável que esse tipo de ataque ainda seja bem-sucedido, embora uma mitigação seja bastante direta”, disse Mounir Hahad, chefe do Juniper Threat Labs da Juniper Networks, por e-mail. “Como último recurso, os proprietários de sites devem verificar periodicamente a integridade de seu código de script, o que pode ser tão simples quanto calcular uma soma de verificação a cada poucos minutos para procurar uma mudança inesperada.”