灰鴿子遠(yuǎn)程控制軟件

標(biāo)題: 關(guān)鍵的magento-sql注入漏洞很快就會(huì)被黑客攻擊 [打印本頁]

作者: admin 時(shí)間: 2019-3-30 10:56
標(biāo)題: 關(guān)鍵的magento-sql注入漏洞很快就會(huì)被黑客攻擊
流行的電子商務(wù)平臺(tái)Magento發(fā)布了安全補(bǔ)丁來修復(fù)該漏洞。研究人員說現(xiàn)在更新。
(, 下載次數(shù): 850)
數(shù)千家在線商店使用的Magento內(nèi)容管理系統(tǒng)已收到對(duì)幾個(gè)嚴(yán)重漏洞的修復(fù)，包括一個(gè)未經(jīng)驗(yàn)證的SQL注入漏洞，該漏洞可能很快成為攻擊者的目標(biāo)。
自2018年起，Adobe旗下公司Magento發(fā)布了37個(gè)安全問題的安全補(bǔ)丁，這些安全問題影響到了其平臺(tái)的商業(yè)版本和開源版本。利用這些缺陷可以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行、SQL注入、跨站點(diǎn)腳本、權(quán)限提升、信息公開和垃圾郵件發(fā)送。
四個(gè)漏洞在通用漏洞評(píng)分系統(tǒng)（CVSS）中的得分高于9，這意味著它們是關(guān)鍵的。其中一個(gè)SQL注入缺陷是研究人員特別關(guān)注的問題，因?yàn)樗梢栽跊]有身份驗(yàn)證的情況下被利用。”網(wǎng)站安全公司Sucuri的研究人員在一篇博客文章中說：“SQL漏洞很容易被利用，我們鼓勵(lì)每個(gè)magento網(wǎng)站的所有者更新這些最近修補(bǔ)的版本，以保護(hù)他們的電子商務(wù)網(wǎng)站。”
研究人員已經(jīng)對(duì)補(bǔ)丁進(jìn)行了逆向工程，并為內(nèi)部測(cè)試創(chuàng)建了一個(gè)有效的概念驗(yàn)證工具。他們還沒有公開發(fā)布它，但很可能攻擊者很快就會(huì)發(fā)現(xiàn)如何利用這個(gè)漏洞。
一個(gè)廣受歡迎的黑客目標(biāo)
由于其受歡迎程度和處理的敏感客戶數(shù)據(jù)，Magento平臺(tái)是黑客的一個(gè)吸引人的目標(biāo)，并且在過去的很多次攻擊中都是目標(biāo)。在過去的一年里，針對(duì)網(wǎng)上商店的攻擊數(shù)量總體上有所增加，一些專門從事網(wǎng)絡(luò)瀏覽的黑客團(tuán)體在電腦上注入流氓腳本，以獲取信用卡的詳細(xì)信息。
SQL注入漏洞允許向數(shù)據(jù)庫中注入數(shù)據(jù)或從數(shù)據(jù)庫中讀取信息。即使這個(gè)特定的缺陷不能被用來直接感染一個(gè)網(wǎng)站，它也有可能讓攻擊者訪問一個(gè)網(wǎng)站上的帳戶。然后可以使用該訪問來利用此版本中修補(bǔ)的需要身份驗(yàn)證的其他特權(quán)升級(jí)或代碼執(zhí)行缺陷之一。
Sucuri的研究人員警告說：“未經(jīng)身份驗(yàn)證的攻擊，如在這個(gè)特定的SQL注入漏洞中所看到的攻擊，是非常嚴(yán)重的，因?yàn)樗鼈兛梢宰詣?dòng)進(jìn)行，使得黑客很容易對(duì)易受攻擊的網(wǎng)站發(fā)起成功、廣泛的攻擊。”活動(dòng)安裝的數(shù)量、易受攻擊性和成功攻擊的影響是導(dǎo)致此漏洞特別危險(xiǎn)的原因。”
建議Magento Commerce和Magento開源用戶升級(jí)到新發(fā)布的版本2.3.1、2.2.8和2.1.17，具體取決于他們使用的分支機(jī)構(gòu)。為了在不部署完整更新的情況下快速保護(hù)其站點(diǎn)，用戶還可以選擇僅手動(dòng)安裝SQL注入缺陷（prodsecbug-2198）的補(bǔ)丁。但是，完全更新不應(yīng)該延遲很長(zhǎng)時(shí)間。
根據(jù)Sucuri的說法，站點(diǎn)管理員還應(yīng)該監(jiān)視他們的訪問日志，查看是否有/catalog/product/frontend_action_synchronize path的點(diǎn)擊。對(duì)該路徑的偶爾請(qǐng)求可能是合法的，但在短時(shí)間內(nèi)大量來自同一IP地址的請(qǐng)求應(yīng)被視為可疑請(qǐng)求，并可能是利用此漏洞的嘗試。

歡迎光臨灰鴿子遠(yuǎn)程控制軟件 (http://www.dumiaotech.com/)