3 Settembre 2020 - Tempo di lettura: 8 minuti
Una vulnerabilità CSRF (cross-site request forgery) continua a essere presente nel plug-in Magmi per i negozi online Magento, nonostante gli sviluppatori abbiano ricevuto un rapporto dai ricercatori che l'hanno scoperta.
Gli hacker possono utilizzare la falla per eseguire codice arbitrario su server che eseguono Magmi (Magento Mass Importer) inducendo gli amministratori autenticati a fare clic su un collegamento dannoso.
Il plugin funziona come un client di database Magento che può aggiungere un gran numero di prodotti (milioni, secondo la sua pagina wiki) a un catalogo o aggiornarlo.
Enguerran Gillier del Tenable Web Application Security Team ha analizzato Magmi all'inizio di quest'anno e ha scoperto due vulnerabilità di sicurezza che potrebbero consentire l'esecuzione di codice in modalità remota. Tuttavia, solo uno di loro ha ricevuto una correzione due giorni fa.
Il problema che attualmente interessa tutte le versioni di Magmi è registrato come CVE-2020-5776. Deriva dalla mancanza di token CSRF casuali che proteggano dagli attacchi CSRF.
Al momento della scrittura, non è disponibile un livello di gravità per CVE-2020-5776, ma Tenable è stato rilasciato sul codice proof-of-concept della pagina GitHub pubblica dell'azienda che dimostra questa vulnerabilità, insieme alle istruzioni su come funziona.
Il secondo problema scoperto in Magmi è un bypass dell'autenticazione che consente l'utilizzo di credenziali predefinite quando la connessione al database Magento fallisce.
Questo difetto è ora identificato come CVE-2020-5777 e gli aggressori possono sfruttarlo forzando una condizione di negazione del servizio (DoS) alla connessione al database Magento.
Gillier afferma in una panoramica tecnica che il DoS è possibile quando il numero massimo di connessioni MySQL è maggiore del massimo accettato dal server per le connessioni HTTP. È disponibile anche un PoC per questo problema.
"Inviando un gran numero di richieste di connessione simultanee che superano il limite di connessioni MySQL, ma non il limite massimo di connessione HTTP Apache, gli aggressori potrebbero bloccare temporaneamente l'accesso al database Magento e contemporaneamente fare una richiesta autenticata a MAGMI utilizzando le credenziali predefinite" - Enguerran Gillier
Secondo Tenable, hanno segnalato le vulnerabilità in Magmi al suo sviluppatore il 3 giugno. Il 6 luglio, lo sviluppatore ha riconosciuto i difetti dicendo che sarebbero stati risolti.
Una nuova versione del plug-in è emersa il 30 agosto con una correzione solo per la vulnerabilità di bypass dell'autenticazione, ha affermato la società di sicurezza informatica.
Le vulnerabilità nelle versioni precedenti di Magmi sono state sfruttate da almeno un gruppo Magecart per l'accesso non autorizzato a un server che ospita un negozio online negli Stati Uniti. Ciò ha consentito loro di piantare codice JavaScript dannoso che ha rubato i dati della carta di credito dei clienti al momento del pagamento.
L'incidente è stato abbastanza notevole da indurre l'FBI a rilasciare a maggio dettagli tecnici alle organizzazioni nel settore del commercio elettronico in modo che possano proteggersi dall'attore della minaccia.
Sebbene Magmi sia compatibile con Magento 1.x che non è più supportato attivamente, il conteggio dei download del plug-in negli ultimi sei mesi indica centinaia di installazioni.