Home / Vulnerabilities / Ευπάθεια στο Magento αφήνει εκτεθειμένα εκατοντάδες χιλιάδες ηλεκτρονικά καταστήματα

Ευπάθεια στο Magento αφήνει εκτεθειμένα εκατοντάδες χιλιάδες ηλεκτρονικά καταστήματα

ηλεκτρονικά καταστήματα

Το Magento, η πλέον δημοφιλής πλατφόρμα ηλεκτρονικού εμπορίου, ιδιοκτησίας του eBay, απασχολεί ξανά την επικαιρότητα, καθώς μια κρίσιμη ευπάθεια Remote Code Execution (RCE) που ανακαλύφθηκε αφήνει εκτεθειμένες εκατοντάδες χιλιάδες ηλεκτρονικά καταστήματα.

Αν κάποιος κακόβουλος χρήστης εκμεταλλευτεί αυτή την ευπάθεια, θα μπορέσει με ευκολία να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στις προβληματικές ιστοσελίδες και έτσι να υποκλέψει δεδομένα πιστωτικών καρτών και πλήθος άλλων προσωπικών και οικονομικών πληροφοριών εκατομμυρίων χρηστών – πελατών.

Εξαιτίας της σοβαρής αυτής ευπάθειας στην πλατφόρμα Magento, ένας hacker μπορεί να εκτελέσει οποιοδήποτε PHP κώδικα θελήσει στο web server ενός ιστοτόπου που βασίζεται στο Magento. Η δυνατότητα εκτέλεσης οποιουδήποτε κώδικα στον server που έχουν οι κυβερνοεγκληματίες τους καθιστά πανίσχυρους, καθώς μπορούν να προσπεράσουν όλους τους μηχανισμούς ασφαλείας και άρα να αποκτήσουν τον πλήρη έλεγχο των ευπαθών ιστοσελίδων.

Οι ευπάθειες που υπάρχουν – και επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα (RCE) – στον βασικό πυρήνα του κώδικα του Magento αφορούν στην default εγκατάσταση των εκδόσεων Magento Community και Magento Enterprise.

Υπάρχουν και χειρότερα;

Ναι, δυστυχώς. Γιατί παρότι οι ερευνητές ασφαλείας της ομάδας Check Point, που ανακάλυψαν την ευπάθεια (μαζί με μια σειρά από άλλα προβληματικά σημεία), ανέφεραν το πρόβλημα στο Magento και παρ’ όλο που το Magento διόρθωσε σχεδόν αμέσως την ευπάθεια (στις αρχές Φεβρουαρίου 2015 κυκλοφόρησε το σχετικό patch – διαθέσιμο εδώ), μεγάλος αριθμός ιστοσελίδων που βασίζονται στο Magento δεν έχουν προχωρήσει στο απαραίτητο update.

Εκτιμάται ότι πάνω από το 50% των ηλεκτρονικών καταστημάτων που βρίσκονται σε λειτουργία – και βασίζονται στο Magento – δεν έχουν ακόμα ενημερωθεί. Κι αυτό είναι κάτι πολύ άσχημο, γιατί οι μη ενημερωμένες ιστοσελίδες εξακολουθούν να είναι «ανοιχτές» σε επιθέσεις κυβερνοεγκληματιών.

Άρα, το ηλεκτρονικό σας κατάστημα, που χρησιμοποιεί Magento, χρειάζεται το patch!

Το cybersecurity.gr συμβουλεύει εσάς, τους ιδιοκτήτες ηλεκτρονικών καταστημάτων, που έχετε δομήσει την ιστοσελίδα σας στο Magento, να προχωρήσετε το συντομότερο δυνατό στην ενημέρωση με το τελευταίο patch της εταιρείας, καθώς ένας τεράστιος όγκος προσωπικών και οικονομικών δεδομένων των πελατών σας κινδυνεύει να πέσει στα χέρια κυβερνοεγκληματιών.

Κάτι τέτοιο θα έχει ολέθριες συνέπειες: η εμπιστοσύνη των πελατών σας θα κλονιστεί και είναι εξαιρετικά πιθανό να πληρώσετε στην κυριολεξία ακριβά αυτή σας την παράλειψη.

Χρήσιμο
Ευανάγνωστο

User Rating: 4.8 ( 1 votes)

About CyberG

Check Also

Σοβαρή ευπάθεια στα Juniper NetScreen firewall

Οι εταιρεία Juniper ανακοίνωσε ότι εντόπισε “μη εξουσιοδοτημένο κώδικα”  στο ScreenOS, το οποίο είναι το …

Leave a Reply

Your email address will not be published. Required fields are marked *