A vulnerabilidade permite carregar e executar código PHP nocivo em servidores de internet diz a DefenseCode.
Uma falha de segurança não corrigida na plataforma de comércio electrónico Magento pode permitir que hackers enviem e executem código nocivo em servidores de Internet, que alojam lojas online.
A vulnerabilidade foi descoberta por investigadores da consultora em segurança, DefenseCode, e localiza-se num recurso que recupera imagens de visualização de vídeos alojados no Vimeo. Esses vídeos podem ser adicionados às listagens de produtos no Magento.
Os investigadores da consultora determinaram que se o endereço da imagem apontar para um ficheiro diferente, por exemplo, um “script” em PHP, a Magento descarrega o ficheiro para validá-lo. Se não for uma imagem, a plataforma responde com mensagem de erro “Disallowed file type”, mas não o removerá do servidor.
Um potencial intruso com acesso para explorar essa falha pode fazer a execução remota de código, primeiro enganando a plataforma e levando-a fazer o download de um ficheiro de configuração “.htaccess” que permite a execução do PHP dentro do directório de download. Depois pode descarregar o próprio ficheiro malicioso.
Uma vez no servidor, o “script” PHP pode actuar como porta ilegítima e podendo ser acedido a partir de um local externo, apontando o browser para ele. Por exemplo, os intrusos poderão usá-lo para procurar os directórios do servidor e ler a password da base de dados do ficheiro de configuração da Magento.
Os investigadores da DefenseCode afirmam que informaram a Magento sobre o problema em Novembro passado, mas não receberam nenhuma resposta sobre os planos de correcção desde então.
Isso pode expor as informações de cliente armazenadas na base de dados, o que no caso de lojas online, pode ser muito grave. Os investigadores da DefenseCode afirmam que informaram a Magento sobre o problema em Novembro passado, mas não receberam nenhuma resposta sobre os planos de correcção desde então.
Várias versões da Magento Community Edition (CE) foram lançadas desde esse mês, sendo a mais recente 2.1.6 distribuída na terça-feira. Mas de acordo com a DefenseCode, todas as versões do Magento CE continuam a ser vulneráveis.
A Magento, empresa que supervisiona o desenvolvimento da plataforma de comércio electrónico, não respondeu imediatamente a um pedido de comentário do IDG News Service.
“Todos os utilizadores devem usar o recurso ‘Add Secret Key to URLs’ que atenua o vector de ataque CSRF”, dizem os investigadores da DefenseCode. “Para impedir a execução remota de código através do carregamento arbitrário de ficheiros, o servidor deve ser configurado para desabilitar ficheiros ‘.htaccess’ nos directórios afectados.”
No ano passado, investigadores descobriram milhares de lojas online baseadas na Magento que estavam comprometidas e infectadas com código malicioso capaz e extrair detalhes de cartões de pagamento.