Уязвимость нулевого дня в популярном плагине для платформы электронной коммерции Magento находится под атакой.

Атакующие используют небольшой набор IP-адресов для того, чтобы обнаруживать уязвимые версии Magmi — СУБД с открытым исходным кодом, позволяющей импортировать данные напрямую в базу данных Magento.

«Мы обнаружили несколько сотен запросов-атак, исходящих с пары-тройки IP-адресов. Сканирование на предмет уязвимого плагина и сама атака автоматизированы, — заявил Карл Сиглер (Karl Sigler), менеджер Trustwave по сбору информации об интернет-угрозах. — Объем атак, совершаемых на наши «ловушки», весьма высок, так что IP-адресов может быть и больше».

Используемая атакующими брешь является уязвимостью выхода за пределы директории и позволяет им получить доступ к локальному XML-файлу, который используется Magento для хранения учетных данных и криптографических ключей. В стандартной конфигурации плагин устанавливается в ту же директорию, что и Magento, и именно эта конфигурация, по свидетельству Trustwave, является уязвимой.

«Лучший способ защиты — не устанавливать плагин в одной корневой директории с Magento, — заявил Сиглер. — Снизить риск эксплойта поможет также усиление защиты директории или XML-файла».

Представители Magento уже начали оповещать своих клиентов о случившемся, призывая их ввести парольный доступ к директории либо воспользоваться списком контроля доступа, чтобы содержимое нельзя было считывать напрямую.

Плагин Magmi создан французским программистом Себастьяном Бракмоном (Sebastien Bracquemont), также известным как dweeves. По словам Сиглера, выйти на связь с разработчиком пока не получилось.

Важно то, что этот плагин доступен для скачивания с двух различных репозиториев — Sourceforge и GitHub. Версия, раздаваемая на Sourceforge, содержит уязвимость, и именно она первой показывается в поисковой выдаче Google. Эта версия не получала обновлений уже почти год, в текущем месяце ее уже скачали более 500 раз. В то же время версия, размещенная на GitHub, является новейшей, и уязвимый файл в ней отсутствует.

«По всей видимости, разработчик в свое время использовал Sourceforge, потом перешел на GitHub, а вот про то, чтобы держать актуальными обе версии, забыл, — сокрушается Сиглер. — Это две разные версии одного и того же плагина. Более новую, раздаваемую с GitHub, похоже, пофиксили, так как файла download.file.php там уже нет. Возможно, разработчик знал, что файл уязвим или в нем просто отпала необходимость».

Эксперты Trustwave опубликовали подробности эксплойта на своем веб-сайте. За последние несколько недель они обнаружили код, при помощи которого атакующие пытались получить пароли из разных директорий.

«[Атака] представляет собой обычный GET-запрос, и ее крайне просто автоматизировать, — отмечает Сиглер. — Нет никакой необходимости прикасаться к клавиатуре. Скорее всего, используется простенький скрипт, который обнаруживает уязвимую версию плагина и начинает атаку».

К счастью, как отметил эксперт, большинство пользователей Magento читают инструкцию по установке и ограничили доступ к уязвимому файлу, сократив возможности для атакующих.

Категории: Уязвимости