Ошибка в Magento использовалась для кражи платежных данных пользователей интернет-магазинов
Ошибка в Magento использовалась для кражи платежных данных пользователей интернет-магазинов. Фото: СС0
Эксперты из Sansec опубликовали сообщение в блоге, в котором подробно описывается «умно созданный шаблон макета в базе данных», используемый для автоматического внедрения вредоносного ПО.
Шаблон использовал уязвимость «неправильной нейтрализации специальных элементов» CVE-2024-20720 с уровнем серьезности 9,1 (критический).
Magento — это платформа электронной коммерции с открытым исходным кодом, написанная на PHP, приобретенная Adobe в середине 2018 года за 1,68 млрд $. Платформу используют 150 тыс. интернет-магазинов.
Из сообщения исследователей безопасности
«Злоумышленники объединяют анализатор макета Magento с пакетом beberlei/assert (установленным по умолчанию) для выполнения системных команд. Поскольку блок макета привязан к корзине оформления заказа, эта команда выполняется всякий раз, когда запрашивается/checkout/cart. Команда в этом случае называется sed и добавляет бэкдор в контроллер CMS. Умно, потому что вредоносное ПО будет повторно внедрено после исправления вручную или установки bin/magento:di:compile run:.»
Команда Magento устранила эту ошибку с помощью обновления безопасности, опубликованного 13 февраля этого года. Специалисты призывают немедленно обновить ПО, елси это не было сделано по каким-то причинам.
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было