Trwa exploitacja Magento. Ultra krytyczna luka pozwala na przejmowanie sklepów/serwerów bez konieczności logowania się.

Adobe wypuścił łatkę w niedzielę, 13. lutego. Jeśli chodzi o lukę CVE-2022-24086, to mamy prawie same złe wieści:

• Podatność jest klasy Arbitrary Code Execution – czyli można wykonać dowolny kod na serwerze (a później zainstalować tam backdoora, uzyskać dostęp do bazy danych, atakować inne serwery, …)
• Exploitacja nie wymaga uwierzytelnienia
• Na domiar złego Adobe informuje, że wie o exploitowaniu luki „w dziczy”:
  Adobe is aware that CVE-2022-24086 has been exploited in the wild in very limited attacks targeting Adobe Commerce merchants.

Gdzie jest jakaś „dobra wieść”? Podatne jest Adobe Commerce oraz Magento Open Source (wersje 2.4.3-p1 i wcześniejsze oraz 2.3.7-p2 i wcześniejsze). Jest też dość enigmatyczny dopisek: Adobe Commerce 2.3.3 and lower are not affected.

Więc wygląda to na lukę wprowadzoną względnie niedawno. Podatna wersja 2.3.4 została wydana w styczniu 2020r. – wszystkie późniejsze wersje są również dziurawe (nie licząc oczywiście wersji właśnie wypuszczonej).

Pośpieszcie się łataniem, bo zapewne wiele osób przeanalizowało już łatkę i exploity zaczną się pojawiać jak grzyby po deszczu.

Dlaczego „ultra krytyczna” luka, a nie „krytyczna”? Rzadko w obecnych czasach zdarza się podatność w jednak popularnym (oraz istotnym) oprogramowaniu, która bez żadnego uwierzytelnienia umożliwia dostęp na serwer.

~Michał Sajdak