由于Magento电商平台中存在一个0day漏洞,因此数千个由它支持的eBay网店易受黑客攻击。
来自Trustwave的研究人员表示,漏洞存在于一个大型的导入工具Magmi中。与Magento默认系统相比,Magmi允许用户更加快速有效地导入大量产品。它是Magento数据库客户端,可在GitHub和SourceForge上下载。虽然这两个网站上提供的版本应当是同步的,但专家发现SourceForge上的版本包含可导致Magento安装易受攻击的文件(download_file.php)。
文件down_file.php中存在的问题是,它会在未开启检查以避免目录遍历攻击的情况下打开请求参数中指定的文件。由于Magmi通常安装在跟Magento文件夹相同的服务器上,攻击者能够利用目录遍历漏洞访问敏感文件。
Trustwave在上个月发现了相关攻击。研究人员发现HTTP请求试图利用这个漏洞获取Magento站点的凭证和数据库密钥。如果包含“\web”位置的Magmi安装是不安全的,那么这个漏洞就会被利用。在Magmi使用HTTP基本验证或其它方法的地方需要保护Magmi。如果在没有保护Magmi的情况下予以安装,那么就很容易受到攻击,因为可从Magmi UI管理页面中找到凭证。然而,download_file.php中的目录遍历漏洞通过一个GET请求就让攻击变得更加容易。
专家表示,GitHub上的Magmi版本最近进行了更新,但SourceForge上的版本最近的更新时间是2014年12月份。鉴于今年从SourceForge上下载Magmi的次数达到近3000次,有大量站点可能易受攻击。专家认为许多用户是从SourceForge上下载的Magmi,因为它在谷歌搜索中的排序是第一位。
Magento回应称,发现1700个站点明显易受攻击,并且已联系网站所有人。而Magmi的开发人员也已得到通知,不过问题似乎依然未被解决。
有超过24万的商户选择使用Magento,这让它成为恶意攻击者的宠儿。四月份,有专家曾在Magento上发现了一个紧急漏洞,可获取包含支付卡信息在内的敏感信息访问。专家发现攻击者会在漏洞发布的24小时内利用漏洞。