Los parches para una plataforma de comercio electrónico deben aplicarse de inmediato. No si maybes, peros adiós. Los investigadores dicen que cualquiera que use la plataforma Magento debería actualizar lo antes posible y a la luz de la amenaza, lo antes posible significa ahora mismo.

La plataforma de comercio electrónico Magento ha lanzado parches para 37 vulnerabilidades, Threatpost dijo el viernes. Magento lanzó cuatro parches críticos, cuatro parches de gravedad alta y 26 errores de gravedad media y tres errores de gravedad baja en el resumen de parches.

Las versiones de Magento afectadas fueron 2.1 antes de 2.1.17, Magento 2.2 antes de 2.2.8 y Magento 2.3 antes de 2.3.1.

Lucian Constantin en CSO enumeró qué tipos de actividades podrían realizar los atacantes si explotaran las fallas:ejecución remota de código, Inyección SQL, secuencias de comandos entre sitios, escalada de privilegios, divulgación de información y envío de spam.

Estos incluían fallas que podrían haber permitido a los atacantes tomar el control de un sitio y crear nuevas cuentas de administrador.

Constantin dijo Magento, utilizado por miles de tiendas online, tenía problemas de seguridad que afectaban tanto a la versión comercial como a la de código abierto de su plataforma.

El último desarrollo es que la plataforma Magento pronto podría enfrentar ataques después de que los piratas informáticos publicaran un código que explota una vulnerabilidad en sus sistemas. dijo TechRadar , que podría usarse para colocar skimmers de tarjetas de pago en sitios que aún no se han actualizado.

Los intentos de explotar los sitios de comercio electrónico son implacables y esto resultó ser una historia corriente. PRODSECBUG-2198 es el nombre de la vulnerabilidad de inyección SQL que los atacantes pueden explotar sin necesidad de autenticación. si los atacantes intentan un exploit.

KoDDoS escribió sobre la inyección SQL sin la necesidad de un error de autenticación y señaló que la firma de seguridad Sucuri "dijo en una publicación de blog que todos deberían actualizarse inmediatamente si están usando Magento".

El sitio de Magento presentó el Magento 2.3.1, Actualización 2.2.8 y 2.1.17, diciendo "Se ha identificado una vulnerabilidad de inyección de SQL en el código de Magento anterior a la 2.3.1. Para proteger rápidamente su tienda solo de esta vulnerabilidad, instale el parche PRODSECBUG-2198. Sin embargo, para protegerse contra esta vulnerabilidad y otras, debe actualizar a Magento Commerce o Open Source 2.3.1 o 2.2.8. Le recomendamos encarecidamente que instale estos parches completos lo antes posible ".

¿Qué tan urgente es urgente? Dan Goodin en Ars Technica dijo que el nuevo giro de los acontecimientos hizo que este llamado a parchear fuera muy urgente.

"El viernes se publicó un código de ataque que explota una vulnerabilidad crítica en la plataforma de comercio electrónico Magento, todo menos garantizando que se utilizará para instalar skimmers de tarjetas de pago en sitios que aún no han instalado un parche lanzado recientemente ".

Magento se considera una plataforma de comercio electrónico popular. ¿Qué tan popular? Jeremy Kirk, BankInfoSecurity, tomó nota de sus cifras informadas:$ 155 mil millones en comercio en 2018 y más de 300, 000 empresas y comerciantes que utilizan el software.

Fuera de los defectos identificados, el más discutido en los sitios de observación de tecnología ha sido la vulnerabilidad de inyección de SQL.

Sucuri Security habló sobre el problema de la inyección de SQL en Magento Core y advirtió que el error era crítico (CVSS 8.8) y fácil de explotar de forma remota. dijo Threatpost .

(El marco del Common Vulnerability Scoring System califica la gravedad de las vulnerabilidades, y 10 indica el más grave).

Marc-Alexandre Montpas, Investigador de seguridad de Sucuri, dijo, "recomendamos encarecidamente a los usuarios de Magento que actualicen sus sitios a la última versión de la rama que están utilizando; ya sea 2.3.1, 2.2.8, o 2.1.17. "

Para aquellos que no están familiarizados con la inyección SQL, CSO el año pasado dijo que hay varios tipos, "pero todos involucran a un atacante que inserta SQL arbitrario en una consulta de base de datos de aplicaciones web". Es un tipo de ataque que puede otorgar a un adversario control sobre la base de datos de su aplicación web insertando código SQL arbitrario en una consulta de base de datos ".

Constantin ofreció una visión más amplia donde Magento es solo un ejemplo de problemas en el terreno de las compras en línea:el número de ataques contra las tiendas en línea en general ha aumentado durante el último año, él dijo, y algunos de los grupos son especialistas en skimming web.

TechRadar :"Bandas rivales de ciberdelincuentes han pasado los últimos seis meses tratando de infectar sitios de comercio electrónico con malware de robo de tarjetas para robar los detalles de pago de los usuarios". TechRadar también señaló que más de 300, 000 empresas y comerciantes utilizaron los servicios de la plataforma.

¿Qué es el skimming web? Los culpables inyectan "scripts fraudulentos en las computadoras para capturar los detalles de la tarjeta de crédito, " como CSO Ponlo.

El año pasado, Adobe había anunciado un acuerdo para adquirir la plataforma Magento Commerce. El comunicado de prensa describió la plataforma como "construida sobre una base probada, tecnología escalable respaldada por una comunidad vibrante de más de 300, 000 desarrolladores ". El ecosistema de socios, dijo el comunicado, "proporciona miles de extensiones prediseñadas, incluido el pago, Envío, impuestos y logística ".

Jérôme Segura, analista líder de inteligencia de malware en Malwarebytes, dicho Ars Technica el jueves. "Cuando se trata de sitios web pirateados de Magento, Los skimmers web son el tipo de infección más común que vemos debido a su alto retorno de la inversión ".

Los grupos se especializan en introducir software malicioso con tarjetas de pago en sitios, dijo Jeremy Kirk en BankInfoSecurity .

© 2019 Science X Network