Come era stato anticipato in precedenza, è stata identificata una falla di sicurezza in Magento che potrebbe permettere potenziali accessi non autorizzati a store su Magento. La maggior parte dei merchant ha già scaricato con successo la patch, ma per chi non lo avesse ancora fatto, ecco i dettagli:
La vulnerabilità dell’esecuzione di codice da remoto (RCE) è stata segnalata a Magento da Check Point Software Technologies e riguarda sia Magento Enterprise Edition che Magento Community Edition e permette agli aggressori di ottenere il controllo di uno store e dei suoi dati più sensibili, incluse le informazioni personali dei clienti.
Come fare a capire se il tuo sito è stato compromesso?
Per capire se il tuo sito è stato potenzialmente attaccato, cerca i seguenti segnali:
-Controlla se nella lista di utenti amministratori sono presenti account sconosciuti. In passato ci sono stati già casi in cui vpwq e default manager venivano utilizzati da altri, ma qualunque account sconosciuto è sospetto;
-Controlla se nella tua installazione Magento ci sono file sconosciuti creati di recente e che sembrano sospetti. Confronta tutti i file nella code repository o nel server di staging;
-Controlla i file di log di accesso al server per richieste POST /index.php/admin/Cms_Wysiwyg/directive/index/ che vengono da indirizzi IP sconosciuti;
-Utilizza dei tool per cercare trojans (ad esempio chkrootkit)
-Controlla eventuali permessi sbagliati
-Controlla i file nascosti
-Controlla se sono state aperte porte sospette (command: netstat -nap | grep LISTEN )
-Controlla qualsiasi redirect di porte a livello OS (sample command: iptables -L -n)
Soluzione
Il 9 febbraio Magento ha rilasciato la patch di sicurezza SUPEE-5344 raccomandando ai merchant di applicare la patch il prima possibile. Il 16 aprile è stato ricordato nuovamente ai merchant e ai partner di implementare la patch per proteggere i loro siti da questo rischio alla sicurezza prima che la problematica fosse dichiarata pubblica e che il rischio aumentasse. Il 20 e 22 aprile, Check Point ha pubblicizzato questo rischio alla sicurezza, includendo i dettagli tecnici per scoprire tale vulnerabilità.
Ecco alcuni dettagli sulle patch per Magento CE:
-Le patch per Magento CE 1.4-1.9.1 sono disponibili alla pagina di download (a metà pagina) di Magento CE
-Per quanto riguarda le versioni precedenti a Magento CE 1.3 si può di fare riferimento a questa discussione sul forum di Magento
-NB: è necessario l’accesso SSH al server per applicare la patch ufficiale. Se non hai un accesso SSH, fai riferimento a questa discussione nel forum di Magento
Step importanti per salvaguardare il tuo store Magento
Essendo questa problematica visibile a tutti, Magento incoraggia tutti coloro che non lo avessero ancora fatto, a implementare immediatamente la patch di sicurezza SUPEE-5344. Lo scorso ottobre era stato inoltre pubblicato un avviso di sicurezza per un problema diverso del RCE (SUPEE-1533) e si raccomanda l’installazione di questa patch in contemporanea, qualora non fosse stato fatto in precedenza.
-Per i merchant che usano Magento EE, le patch si possono trovare nel Portale di supporto Magento
-Per i merchant che hanno Magento CE, le patch si trovano alla pagina di download di Magento community Edition (a metà pagina)