Veebruaris paigatud Magento 2 tarkvara kriitilist turvanõrkust tähisega CVE-2022-24086 (9.8/10.0) on hakatud taas rünnakutes aktiivselt ära kasutama, kirjutas riigi infosüsteemi amet oma blogis.
Magento on vabavaraline platvorm, mida kasutatakse e-poodide osana Eestis ja kõikjal maailmas. Turvanõrkus võimaldab autentimata kasutajal käivitada pahatahtlikku koodi paikamata veebilehtedel. Turvanõrkuse eemaldamiseks tuleb Magento tarkvara uuendada (BP).
Veebruaris avaldamise ajal levis info, et seda turvanõrkust on juba aktiivselt ära kasutatud. Mõni päev hiljem avaldati turvanõrkuse kohta avalik ründe tõendus (PoC), mille tagajärjel ennustati suuremat turvanõrkuse ära kasutamist.
CVE-2022-24086-nimelise turvanõrkuse abil saab autentimata ründaja veebilehe kompromiteerida ja kasutada seda edasiseks pahatahtlikuks tegevuseks – näiteks on võimalik veebilehele lisada pahaloomulist koodi, mis suunab külastaja edasi petulehtedele. Samuti on oht andmelekkeks.
Hiljuti, 22. septembril avaldati raport, mis tõi välja, et turvanõrkus kogub küberkurjategijate seas aina populaarsust. Ülevaade kirjeldab kolme ründeviisi, mida on hiljuti kasutatud. Ründeviiside puhul ei ole tuvastatud automatiseeritud tegevust, kuna Magento tarkvara ülesehituse loogika muudab kirjutajate hinnangul sellised ründed pigem keeruliseks.
Kes ja mida peaks tegema?
Kuna turvanõrkus on kriitiline, potentsiaalne mõju suur ja seda üritatakse aktiivselt ära kasutada, tuleb mõjutatud veebilehtede halduritel uuendada haavatavad lehed esimesel võimalusel!
Tootja informatsiooni kohaselt on haavatavad järgmised versioonid:
Adobe Commerce ja Magento Open Source 2.3.3-p1 kuni 2.3.7-p2 ning 2.4.0 kuni 2.4.3-p1
Selleks, et haavatavus paigata, tuleb veebihalduril rakendada kaks turvapaika – esmalt turvapaik nimega MDVA-43395 ning siis MDVA-43443. Paikamiseks mõeldud juhised leiab tootja veebilehelt.