Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Trwa exploitacja Magento. Ultra krytyczna luka pozwala na przejmowanie sklepów/serwerów bez konieczności logowania się.

13 lutego 2022, 20:28 | W biegu | komentarzy 6

Adobe wypuścił łatkę w niedzielę, 13. lutego. Jeśli chodzi o lukę CVE-2022-24086, to mamy prawie same złe wieści:

  • Podatność jest klasy Arbitrary Code Execution – czyli można wykonać dowolny kod na serwerze (a później zainstalować tam backdoora, uzyskać dostęp do bazy danych, atakować inne serwery, …)
  • Exploitacja nie wymaga uwierzytelnienia
  • Na domiar złego Adobe informuje, że wie o exploitowaniu luki „w dziczy”:
    Adobe is aware that CVE-2022-24086 has been exploited in the wild in very limited attacks targeting Adobe Commerce merchants.

Gdzie jest jakaś „dobra wieść”? Podatne jest Adobe Commerce oraz Magento Open Source (wersje 2.4.3-p1 i wcześniejsze oraz 2.3.7-p2 i wcześniejsze). Jest też dość enigmatyczny dopisek: Adobe Commerce 2.3.3 and lower are not affected.

Więc wygląda to na lukę wprowadzoną względnie niedawno. Podatna wersja 2.3.4 została wydana w styczniu 2020r. – wszystkie późniejsze wersje są również dziurawe (nie licząc oczywiście wersji właśnie wypuszczonej).

Pośpieszcie się łataniem, bo zapewne wiele osób przeanalizowało już łatkę i exploity zaczną się pojawiać jak grzyby po deszczu.

Dlaczego „ultra krytyczna” luka, a nie „krytyczna”? Rzadko w obecnych czasach zdarza się podatność w jednak popularnym (oraz istotnym) oprogramowaniu, która bez żadnego uwierzytelnienia umożliwia dostęp na serwer.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Pablo

    Dzięki, zaaplikowano gdzie trzeba :)

    Odpowiedz
  2. Cichy

    No i prawidłowo Magento to syf. Może teraz ludzie porzucą en odpad kodowania i zaczną sprawdzać co instalują. Nikomu nie ma żal ludzi którzy myślą że nie potrzebują pentstera. A znając życie to dopiero początek. Teraz będzie masa serwerów zombi i UFO do zabawy.

    W kraju Ślepców jednooki jest Królem.

    Odpowiedz
    • WojtekStefanemZwany

      Pewien Adam, z pewnego portalu o bezpieczeństwie, na pewnym wykładzie wyartykuował słowa, które powinieneś usłyszeć. Ciekaw jestem czy wsadzony za stery samolotu też byś tak kozaczył… Różni ludzie używają różnych rozwiązań i nie Twoją rolą jest od razu na nich pomstować, tak powiem.

      Odpowiedz
      • Co Adam powiedział?

        1) Jak w polu imię.

        2) „nie Twoją rolą jest od razu na nich pomstować” – ale że co? Można dopiero po dostaniu jakiejś licencji na pomstowanie?

        Odpowiedz
    • Donald

      Tak tak klep dalej stronki za tysiaka w piwnicy u mamy.
      Nie masz dziecko pojęcia o prawdziwym biznesie.

      Odpowiedz
  3. Donald

    Adobe właśnie wydało aneks w postaci patcha do patcha xD

    Odpowiedz

Odpowiedz