Magento er blandt verdens mest brugte software til netbutikker. Angivelig skulle den være brugt af op til 300.000 forskellige e-handelstjenester. Nu er det Adobe-ejede selskab kommet med en meget vigtig sikkerhedsopdatering til alle understøttede udgaver af softwaren.
SQL-injicering
Blandt sårbarhederne, som er blevet fjernet, er en SQL-injceringssårbarhed, som kan udnyttes, uden at der kræves nogen form for autentificering. Ifølge sikkerhedsselskabet Sucuri er sårbarheden meget let at udnytte og kan bruges til at sende kommandoer til et underliggende databasesystem.
Dette gør det muligt at hente sensitiv information ud af systemet, inklusive brugernavn og hashede passwords. Potentielt gør sårbarheden det også muligt at indsætte kode, som skimmer betalingskortinformation.
Det skriver blandt andet Ars Technica.
Manglende kundskaber
Mange af netbutikkerne, som benytter Magento, køber det som en tjeneste fra en leverandør. Formentlig har de fleste af disse god kontrol over sikkerhedsopdateringerne, som kommer, og installerer disse så hurtigt som muligt.
Værre er det med alle firmaerne, som drifter Magento på egen hånd. Mange af disse har ikke intern kompetence til at forstå konsekvenserne af sådanne angreb. Når den skadelige koden først er blevet injiceret, er det ikke tilstrækkeligt bare at installere sikkerhedsopdateringen. Så må også databasesystemet renses.
I 2016 var der et lignende tilfælde, og sikkerhedsforskere, som forsøgte at varsle berørte netbutikker, blev ofte afvist af folk, som mente, at alt var i den skønneste orden.
Frygter hackerkampagne
Fordi sårbarheden nu er så enkel at udnytte, frygter sikkerhedsselskaber, at dette vil ske i stor stil.
»Det kan føre til én af de mest katastrofale webhackingkampagner nogensinde. Magento bruges for det meste af anerkendte e-handelsnetsteder og åbner derfor døren til en enorm mængde sensitiv, personidentificerende information, inklusive gyldige kreditkortdetaljer,« siger Ilia Kolochenko, administrerende direktør i it-sikkerhedsselskabet High-Tech Bridge.
»De farligste fejl er SQL-injicering, som kan udnyttes uden nogen betingelser, er tilstrækkelige til at stjæle hele databasen, og som sandsynligvis kan tage kontrol over hele det sårbare netsted og den tilhørende webserver. Sofistikerede malwareinfektioner kan skabe problemer for websites, efter at alle værdifulde data er blevet stjålet,« mener Kolochenko.
Netbutikker, som frygter, at sårbarheden allerede kan være udnyttet, kan se i webserverloggen, om /catalog/product/frontend_action_synchronize er blevet besøgt mere end bare undtagelsesvist.
Hvis den er blevet besøgt mange gange i løbet af nogle få minutter, kan det være grund til at foretage nærmere undersøgelser.
Artiklen er fra digi.no.