Tuần này, Adobe đã giải quyết nhiều lỗ hổng có mức độ nghiêm trọng cao trong nền tảng Magento của họ, khiến hàng trăm nghìn trang web dễ bị tấn công thực thi mã tùy ý và giả mạo danh sách khách hàng.
Magento là nền tảng Hệ thống Quản lý Nội dung (CMS) phổ biến thứ hai sau WordPress, cung cấp hơn 250.000 trang web Thương mại điện tử đang hoạt động, chiếm khoảng 12% tổng số cửa hàng trực tuyến. Và theo Magento.com, các trang web dựa trên Magento xử lý hơn 155 tỷ đô la giao dịch mỗi năm.
Đã tìm thấy lỗ hổng Magento và các phiên bản Magento bị ảnh hưởng
Trong bản tin bảo mật của mình [ASPB20-59], Adobe đã phát hành các bản vá cho tổng cộng 9 lỗ hổng đã ảnh hưởng đến các nền tảng Magento Commerce và Magento Open Source. 8 trong số 9 lỗ hổng này được coi là nghiêm trọng hoặc quan trọng, trong khi một lỗ hổng được coi là lỗ hổng Magento vừa phải.
Hai lỗ hổng nghiêm trọng trong nền tảng Magento được theo dõi là Bỏ qua danh sách cho phép tải lên tệp (CVE-2020-24407) và SQL Injection (CVE-2020-24400) có thể cho phép tin tặc thực thi mã tùy ý và thậm chí có thể cấp quyền truy cập đọc hoặc ghi vào cơ sở dữ liệu của trang Magento nạn nhân. Nhưng cả hai lỗ hổng đều yêu cầu tin tặc phải có đặc quyền quản trị viên.
Mặc dù, XSS được lưu trữ (CVE-2020-24408), nếu bị khai thác, có thể cho phép tin tặc thực thi JavaScript tùy ý trong trình duyệt - và điều này không yêu cầu xác thực trước (tức là đặc quyền của quản trị viên) để khai thác.
Các trang web Magneto đang sử dụng Astra Security Magento Firewall đã được bảo mật khỏi tất cả các lỗ hổng bảo mật nêu trên.
Bản tin bảo mật cũng cung cấp danh sách các phiên bản bị ảnh hưởng của nền tảng Magento:
Cách bảo mật các trang web Magento của bạn khỏi những lỗ hổng này
Nếu trang web hoặc cửa hàng Thương mại điện tử của bạn đang chạy trên phiên bản Magento lỗi thời, bạn nên cập nhật cài đặt của mình lên phiên bản mới nhất để bảo vệ trang web / cửa hàng Magento của bạn khỏi những lỗ hổng này. Dưới đây là danh sách các phiên bản cập nhật / mới nhất cho các sản phẩm Magento tương ứng:
Hơn nữa, cài đặt tường lửa ứng dụng web (WAF) cho trang web hoặc cửa hàng Thương mại điện tử của bạn luôn có thể hữu ích. WAF có thể cung cấp bảo mật chống lại các lỗ hổng tiềm ẩn như vậy trong các tệp trang web, plugin, tiện ích mở rộng và chủ đề của bạn.
Cách hoạt động của Tường lửa Astra Security Magneto trên trang web của bạn
Astra Security WAF lọc lưu lượng độc hại và các mối đe dọa tiềm ẩn và cung cấp khả năng bảo vệ thông minh cho trang web / cửa hàng Thương mại điện tử của bạn. Nó chặn XSS, SQLi, CSRF, bot xấu, OWASP top 10 &100+ cuộc tấn công mạng khác. Tường lửa thông minh này phát hiện các mẫu khách truy cập trên trang web của bạn và tự động chặn tin tặc có ý đồ xấu.