Plugin Magento Magmi vulnerabile al dirottamento delle sessioni di amministrazione

Una vulnerabilità CSRF (cross-site request forgery) continua a essere presente nel plug-in Magmi per i negozi online Magento, nonostante gli sviluppatori abbiano ricevuto un rapporto dai ricercatori che l'hanno scoperta.

Gli hacker possono utilizzare la falla per eseguire codice arbitrario su server che eseguono Magmi (Magento Mass Importer) inducendo gli amministratori autenticati a fare clic su un collegamento dannoso.

Il plugin funziona come un client di database Magento che può aggiungere un gran numero di prodotti (milioni, secondo la sua pagina wiki) a un catalogo o aggiornarlo.

Dev risolve uno dei due

Enguerran Gillier del Tenable Web Application Security Team ha analizzato Magmi all'inizio di quest'anno e ha scoperto due vulnerabilità di sicurezza che potrebbero consentire l'esecuzione di codice in modalità remota. Tuttavia, solo uno di loro ha ricevuto una correzione due giorni fa.

Il problema che attualmente interessa tutte le versioni di Magmi è registrato come CVE-2020-5776. Deriva dalla mancanza di token CSRF casuali che proteggano dagli attacchi CSRF.

Al momento della scrittura, non è disponibile un livello di gravità per CVE-2020-5776, ma Tenable è stato rilasciato sul codice proof-of-concept della pagina GitHub pubblica dell'azienda che dimostra questa vulnerabilità, insieme alle istruzioni su come funziona.

Il secondo problema scoperto in Magmi è un bypass dell'autenticazione che consente l'utilizzo di credenziali predefinite quando la connessione al database Magento fallisce.

Questo difetto è ora identificato come CVE-2020-5777 e gli aggressori possono sfruttarlo forzando una condizione di negazione del servizio (DoS) alla connessione al database Magento.

Gillier afferma in una panoramica tecnica che il DoS è possibile quando il numero massimo di connessioni MySQL è maggiore del massimo accettato dal server per le connessioni HTTP. È disponibile anche un PoC per questo problema.

"Inviando un gran numero di richieste di connessione simultanee che superano il limite di connessioni MySQL, ma non il limite massimo di connessione HTTP Apache, gli aggressori potrebbero bloccare temporaneamente l'accesso al database Magento e contemporaneamente fare una richiesta autenticata a MAGMI utilizzando le credenziali predefinite" - Enguerran Gillier

Secondo Tenable, hanno segnalato le vulnerabilità in Magmi al suo sviluppatore il 3 giugno. Il 6 luglio, lo sviluppatore ha riconosciuto i difetti dicendo che sarebbero stati risolti.

Una nuova versione del plug-in è emersa il 30 agosto con una correzione solo per la vulnerabilità di bypass dell'autenticazione, ha affermato la società di sicurezza informatica.

Le vulnerabilità nelle versioni precedenti di Magmi sono state sfruttate da almeno un gruppo Magecart per l'accesso non autorizzato a un server che ospita un negozio online negli Stati Uniti. Ciò ha consentito loro di piantare codice JavaScript dannoso che ha rubato i dati della carta di credito dei clienti al momento del pagamento.

L'incidente è stato abbastanza notevole da indurre l'FBI a rilasciare a maggio dettagli tecnici alle organizzazioni nel settore del commercio elettronico in modo che possano proteggersi dall'attore della minaccia.

Sebbene Magmi sia compatibile con Magento 1.x che non è più supportato attivamente, il conteggio dei download del plug-in negli ultimi sei mesi indica centinaia di installazioni.


Author

L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.

Currently there are no comments, so be the first!
intopic.it