Эксперты Сансек обнаруженныйчто владельцы магазинов на базе Magento и Adobe Commerce намеренно обходят исправление критической уязвимости, выпущенное весной 2022 года. Из-за этого сайты магазинов снова уязвимы для атак, а некоторые уже взломаны.

Речь идет об уязвимости. CVE-2022-24086 (9,8 из 10 по шкале CVSS), что позволяет удаленно выполнять произвольный код без аутентификации и затрагивает Magento и Adobe Commerce. Этот баг был исправлен в феврале 2022 года, и уже тогда разработчики предупреждали, что хакеры эксплуатировали уязвимость, пусть и в редких целевых атаках.

Вскоре стало ясно, что выпущенный патч можно легко проигнорировать, и Adobe представила вторую партию исправлений и присвоила проблеме новый идентификатор (CVE-2022-24087). Также в это время появился эксплойт PoC, нацеленный на эту проблему. Массированные атаки на уязвимость начались примерно в конце 2022 года.

Аналитики SanSec объясняют, что для устранения уязвимости инженеры Adobe удалили интеллектуальные шаблоны электронной почты и заменили переменное разрешение старого шаблона электронной почты новым, чтобы предотвратить потенциальные инъекции. Дело в том, что баг позволял злоумышленникам размещать вредоносные заказы в уязвимых магазинах, злоупотребляя функционалом шаблонов электронной почты, что в конечном итоге привело к захвату уязвимого сайта.

Но и сейчас внесенные компанией изменения не понравились многим продавцам и владельцам сайтов, некоторые из которых предпочли «вернуться к исходному функционалу» в ущерб безопасности. Тем самым они снова подвергли свои магазины критической уязвимости, хотя и установили все необходимые исправления.

По словам компании, дело дошло до того, что некоторые продавцы пытались повторно активировать старый резолвер или изменить функциональность нового (путем копирования кода из старых версий Magento).

«Мы наблюдали это опасное поведение во многих компаниях, а также у поставщиков расширений. Вероятно, они пытаются избежать обновления своих шаблонов электронной почты, чтобы они были совместимы с новым. [резолвером]”, – поясняют эксперты.

Также в некоторых случаях люди точно понимали, что делают, так как пытались снизить риски, добавляя базовую фильтрацию небезопасного пользовательского ввода в систему заказов. Аналитики отмечают, что это не поможет предотвратить эксплуатацию бага, поскольку уязвимость могут эксплуатировать и другие подсистемы, если они каким-то образом связаны с электронной почтой.

Source

ЧИТАТЬ  Twitter намеренно заблокировал сторонние приложения для использования социальной сети - Информация - Социальная сеть на vc.ru

от admin