Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

Adobe corrige el exploit de día cero en el código de comercio electrónico: ¡actualice ahora!

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 294
by Paul patito

Usando el comercio de adobe plataforma de venta en línea?

Usar Magento, la variante gratuita de código abierto del mismo producto?

¿Comprar productos de tiendas en línea que usan cualquiera de estos?

¿Utiliza servicios en línea que en sí mismos utilizan servicios que (... repiten la cadena de suministro según sea necesario...) dependen en última instancia de la versión paga de Magento o Adobe?

Si es así, asegúrese de que el sitio donde se está ejecutando Magento o Adobe Commerce tiene descargado y aplicado Los últimos parches de Adobe.

Tenga en cuenta que estos son los llamados fuera de banda actualizaciones, lo que significa que son lo suficientemente nuevas como para no haber llegado a las actualizaciones regulares del martes de parches de la semana pasada, pero lo suficientemente críticas como para no dejarlas hasta que llegue el martes de parches del próximo mes.

La razón de la urgencia es obvia desde el punto de vista de Adobe. propio informe de seguridad:

Adobe ha publicado actualizaciones de seguridad para Adobe Commerce y Magento Open Source. Estas actualizaciones resuelven una vulnerabilidad calificada como crítica. La explotación exitosa podría conducir a la ejecución de código arbitrario.

Adobe es consciente de que CVE-2022-24086 se ha explotado de forma salvaje en ataques muy limitados dirigidos a comerciantes de Adobe Commerce.

Actualizar ahora

Por supuesto, las palabras "ataques limitados dirigidos a comerciantes" que se muestran arriba no implican automáticamente que "se haya causado un daño mínimo".

Cualquiera que recuerde el reciente Incidente del ransomware Colonial Pipeline sabrá cuán extensos pueden ser los efectos colaterales de un solo ataque cibernético.

Además, hasta que sepamos qué hicieron los atacantes cuando explotaron este agujero, no podemos decir con cuántos datos se robaron, cuántos usuarios podrían verse afectados o qué delitos posteriores, como robo de identidad, recuperación de contraseña y adquisición de cuenta: los delincuentes podrían intentarlo a continuación.

Según Adobe, parece que cualquier instalación de Adobe Commerce o Magento que ejecute una versión posterior a la 2.3.3 que no haya recibido los últimos parches es vulnerable.

Los parches provistos se enumeran como probados para todas estas versiones: 2.3.3-p1 a 2.3.7-p2 y 2.4.0 a 2.4.3-p1.

Qué número de versión aparecerá después de parchear, no podemos decírtelo; los propios archivos de parche se identifican como 2.4.3-p1_v1, por lo que suponemos que esa es la cadena de versión que verá.

Si es usuario de Magento y aplicó el parche, infórmenos en los comentarios a continuación qué identificador de versión aparece después de la actualización. Puede permanecer en el anonimato si lo desea.

La entrada hostil puede ser dañina

Una vez más, el error se reduce a lo que MITRE denomina CWE-20, que es la abreviatura de las palabras más significativas. validación de entrada incorrecta.

Los servicios web, en particular los relacionados con el comercio electrónico, dependen de la aceptación de datos de los usuarios, sobre todo porque no se puede procesar una transacción con tarjeta de crédito sin un conjunto mínimo de entradas, como el nombre del titular de la tarjeta, el número de la tarjeta, la fecha de vencimiento y pronto.

Otros datos relevantes para la transacción pueden ser códigos de descuento, números de clientes y más.

Aunque la gran mayoría de los visitantes harán todo lo posible para enviar los datos correctos (después de todo, generalmente quieren que sus transacciones se realicen), hay poco para evitar que un atacante proporcione datos inusuales, extraños, mal formados o poco probables, solo para ver lo que pasa.

Como dice el viejo chiste, “Un probador de penetración entra en un bar y pide 1 cerveza, 2 cervezas, 999,999,999,999,999 cervezas (un cuatrillón menos uno), -1 cervezas, cero cervezas y un lagarto.”

Si un servidor de comercio electrónico acepta y procesa datos incorrectos o no válidos, el resultado podría ser que el pedido salga mal, como enviarle dos artículos por el precio de uno, o decirle al sistema de control de existencias que se quedó sin existencias incluso aunque no se compró nada.

Claramente, ambos serían malos para el minorista: uno permitiría que los artículos fueran robados a voluntad; el otro rechazaría a los clientes cuyos pedidos de otro modo habrían salido bien.

Pero el resultado también podría ser que se acceda y se revele el archivo de base de datos incorrecto; que se ejecuta un script prohibido y potencialmente peligroso en lugar de uno autorizado y seguro; que un archivo de configuración se modifica incorrectamente para abrir un nuevo agujero de seguridad para más adelante; o incluso que el atacante cargue un archivo de malware e infecte el servidor de inmediato.

En estos casos, los riesgos no solo son malos para el minorista, que podría sufrir una filtración de datos que socavaría la confianza y requeriría la divulgación al regulador, sino también para los clientes, cuyos datos podrían ser robados y vendidos a otros ciberdelincuentes para obtener más información. abuso.

¿Qué hacer?

  • parche a la vez si es un minorista que utiliza uno de estos productos, o un proveedor de servicios que ofrece uno de estos productos en la cadena de suministro de software minorista.
  • Mire sus declaraciones cuidadosamente si ha comprado recientemente en un sitio impulsado por Magento o Adobe Commerce.
  • Pregunte a sus minoristas o proveedores favoritos qué productos de comercio electrónico usan si no es obvio en su sitio web.
  • Mantén tus ojos abiertos para obtener información de seguimiento de Adobe que brinda detalles procesables sobre CVE-2022-24086 y los ataques que se sabe que lo explotaron.

Determinar exactamente qué sucedió después de un ataque, especialmente si se desencadenó a través de un exploit de día cero, lo que implica que al menos las primeras páginas del libro de jugadas de los delincuentes incluyen cosas que nadie ha visto antes, puede ser un ejercicio complejo.

Esperemos que Adobe pueda descubrir toda la historia e informar sobre ella pronto...

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.