Μια ευπάθεια CSRF εξακολουθεί να υπάρχει στο plugin Magmi για ηλεκτρονικά καταστήματα Magento, παρόλο που οι προγραμματιστές έλαβαν μια αναφορά από τους ερευνητές που την ανακάλυψαν.
Οι hackers μπορούν να χρησιμοποιήσουν το ελάττωμα για να εκτελέσουν αυθαίρετο κώδικα σε servers που εκτελούν Magmi (Magento Mass Importer), εξαπατώντας τους πιστοποιημένους administrators να κάνουν κλικ σε έναν κακόβουλο σύνδεσμο.
Το plugin λειτουργεί ως database client της Magento που μπορεί να προσθέσει μεγάλο αριθμό προϊόντων (εκατομμύρια, σύμφωνα με τη σελίδα του wiki) σε έναν κατάλογο ή να κάνει update.
Ο Enguerran Gillier της Ομάδας Ασφάλειας Εφαρμογών Ιστού της Tenable ανέλυσε το Magmi νωρίτερα αυτό το έτος και βρήκε δύο ευπάθειες ασφαλείας που θα μπορούσαν να επιτρέψουν την απομακρυσμένη εκτέλεση κώδικα. Ωστόσο, μόνο μια από τις δύο έλαβε ένα update πριν από δύο ημέρες.
Το ζήτημα που επηρεάζει αυτήν τη στιγμή όλες τις εκδόσεις Magmi εντοπίστηκε ως CVE-2020-5776 και προέρχεται από την έλλειψη τυχαίων CSRF token που θα μπορούσαν να προσφέρουν προστασία από επιθέσεις CSRF.
Μέχρι στιγμής, η βαθμολογία σοβαρότητας δεν είναι διαθέσιμη για το CVE-2020-5776, αλλά η Tenable κυκλοφόρησε στο GitHub τον proof-of-concept κώδικα που αποδεικνύει αυτήν την ευπάθεια, μαζί με οδηγίες για το πώς λειτουργεί.
Το δεύτερο ζήτημα που ανακαλύφθηκε στο Magmi είναι μια παράκαμψη ελέγχου ταυτότητας που επιτρέπει τη χρήση προεπιλεγμένων credentials όταν αποτύχει η σύνδεση με τη βάση δεδομένων Magento.
Αυτό το ελάττωμα έχει πλέον αναγνωριστεί ως CVE-2020-5777 και οι εισβολείς μπορούν να το εκμεταλλευτούν πραγματοποιώντας μια DoS στη βάση δεδομένων της Magento.
Ο Gillier λέει σε μια τεχνική επισκόπηση ότι η DoS είναι δυνατή όταν ο μέγιστος αριθμός των συνδέσεων MySQL είναι μεγαλύτερος από τον μέγιστο αποδεκτό από τον server για συνδέσεις HTTP. Διατίθεται επίσης και PoC για αυτό το ζήτημα.
Σύμφωνα με τον Tenable, τα τρωτά σημεία του Magmi αναφέρθηκαν στον προγραμματιστή στις 3 Ιουνίου. Στις 6 Ιουλίου, ο προγραμματιστής αναγνώρισε τις δυσλειτουργίες λέγοντας ότι θα αντιμετωπιστούν.
Μια νέα έκδοση του plugin εμφανίστηκε στις 30 Αυγούστου με μια επιδιόρθωση μόνο για την ευπάθεια παράκαμψης ελέγχου ταυτότητας, δήλωσε η εταιρεία κυβερνοασφάλειας.
Οι ευπάθειες σε προηγούμενες εκδόσεις του Magmi έχουν αξιοποιηθεί από την ομάδα Magecard για μη εξουσιοδοτημένη πρόσβαση σε έναν server που φιλοξενούσε ένα ηλεκτρονικό κατάστημα. Αυτό τους επέτρεψε να εγκαταστήσουν κακόβουλο κώδικα JavaScript ο οποίος κατάφερε να κλέψει τα δεδομένα από τις πιστωτικές κάρτες των πελατών.
Το περιστατικό ήταν αρκετά αξιοσημείωτο, κάνοντας το FBI να κυκλοφορήσει τεχνικές λεπτομέρειες για τον τομέα του ηλεκτρονικού εμπορίου, ώστε οι οργανισμοί να μπορούν να προστατευτούν από την απειλή.
Αν και το Magmi είναι συμβατό με το Magento 1.x που δεν βρίσκεται πλέον σε ενεργή υποστήριξη, ο αριθμός λήψεων του plugin τους τελευταίους έξι μήνες υποδεικνύει εκατοντάδες εγκαταστάσεις.
