E uma nova Atualização de emergência do Magento corrige uma falha zero-day que está sendo explorada. Confira os detalhes desse update.
O Magento é um poderoso e totalmente modular sistema web de e-commerce de código aberto baseado em PHP e MySQL utilizando elementos do Framework Zend, desenvolvido pela Magento Inc.
Agora, a Adobe lançou atualizações de emergência para AdobeCommerce e Magento Open Source para corrigir uma vulnerabilidade crítica rastreada como CVE-2022-24086 que está sendo explorada.
Atualização de emergência do Magento corrige uma falha zero-day
Detalhes técnicos sobre o problema de segurança ainda não estão disponíveis, mas a Adobe destaca que explorá-lo não requer autenticação e avaliou sua gravidade para 9,8 de 10.
Os administradores de lojas online que executam Adobe Commerce ou Magento Open Source versões 2.4.3-p1/2.3.7-p2 e abaixo são fortemente aconselhados a priorizar o endereçamento CVE-2022-24086 e aplicar a atualização o mais rápido possível.
Os sites que executam o Adobe Commerce 2.3.3 e inferior não são afetados por essa vulnerabilidade de segurança.
No domingo, a Adobe publicou um boletim de segurança fora de banda alertando que os agentes de ameaças estão explorando o CVE-2022-24086 “à solta em ataques muito limitados direcionados aos comerciantes do Adobe Commerce”.
Os hackers que aproveitam o bug com sucesso podem obter a execução remota de código em máquinas vulneráveis sem autenticação.
A Adobe sabia dessa falha crítica de gravidade há mais de duas semanas, desde pelo menos 27 de janeiro, quando o CVE-2022-24086 foi submetido ao banco de dados Common Vulnerabilities and Exposures (CVE) do MITRE e recebeu um número de rastreamento.
A Sansec, uma empresa que oferece serviços de detecção de malware e vulnerabilidade de comércio eletrônico, enfatiza que as lojas que executam o Magento 2.3 ou 2.4 devem instalar o patch personalizado da Adobe imediatamente, “idealmente nas próximas horas”.
Para lojas que usam Magento 2 entre 2.3.3 e 2.3.7, a aplicação do patch pode ser feita manualmente, observa Sansec, porque o processo envolve a modificação de apenas algumas linhas.
Segundo a Sansec:
“Se você estiver executando o Magento 2.3.3 ou inferior, você não está diretamente vulnerável. No entanto, a Sansec ainda recomenda implementar manualmente o patch fornecido.”
Não está claro o quão difícil é explorar o CVE-2022-24086, mas parece que não é um processo simples.
Willem de Groot, fundador e diretor administrativo da Sansec, disse que não viu evidências de que alguém seja capaz de replicar toda a cadeia de ataque de execução remota de código, indicando que “não é uma exploração trivial”.
Apesar disso, a empresa alerta que a não aplicação do patch pode ter consequências graves, semelhantes ao bug crítico de 2015 Magento Shoplift, descoberto por pesquisadores de segurança da empresa de segurança cibernética Check Point.
Naquela época, a exploração começou antes mesmo que os detalhes técnicos do Magento Shoplift se tornassem públicos em abril de 2015, com mais de 100.000 sites ainda usando uma versão vulnerável da plataforma de comércio eletrônico meses depois.