Useita kriittisiä haavoittuvuuksia Magento verkkokauppa-alustassa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Useita kriittisiä haavoittuvuuksia Magento verkkokauppa-alustassa

1. huhtikuuta 2019 klo 11.09

Magento verkkokauppa-alustan Commerce ja Open Source 2.3.1, 2.2.8 ja 2.1.17 versioissa on korjattu useita kriittisiä haavoittuvuuksia. Päivitykset korjaavat haavoittuvuuksia, joiden avulla hyökkääjä voi saada haluunsa luottamuksellista tietoa palvelusta ja sen käyttäjistä tai suorittaa haitallista ohjelmakoodia palvelimella.

Vakavin haavoittuvuus mahdollistaa SQL-injektiohyökkäyksen ilman palveluun kirjautumista. Haavoittuvuuden avulla hyökkääjä voi saada haltuunsa muun muassa käyttäjätietoja Magento verkkokauppa-alustan tietokannasta. Tietoturvayhtiö Sucurin mukaan haavoittuvuuden hyväksikäyttö on helppoa ja hyökkäyksen voi automatisoida. Tällöin rikolliset voivat murtautua jopa tuhansiin päivittämättömiin Magento verkkokauppoihin hyvinkin nopeasti. Hyökkäykselle ei tällä hetkellä ole julkista hyväksikäyttömenetelmää.

Muut haavoittuvuudet mahdollistavat kirjautuneena käyttäjänä muun muassa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä sekä cross site scripting (XSS)-hyökkäykset.

Haavoittuvuuden kohde

  • Magento Commerce ja Open Source 2.1 ennen versiota 2.1.17
  • Magento Commerece ja Open Source 2.2 ennen versiota 2.2.8
  • Magento Commerce ja Open Source 2.3 ennen versiota 2.3.1
  • Magento Open Source versiota 1.9.4.1 vanhemmat versiot
  • Magento Commerce versiota1.14.4.1 vanhemmat versiot

Mistä on kysymys?

  • Päivitä ohjelmisto korjattuun versioon valmistjan ohjeiden mukaisesti.
  • SQL-injektiohaavoittuvuus on korjattu päivityksessä PRODSECBUG-2198 mutta valmistaja suosittelee päivittämään Magenton versioon 2.2.8 tai 2.3.1

Mitä voin tehdä?

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.