Falla crítica de inyección SQL pronto puede ser objeto de ataque de lo hackers

La popular plataforma de comercio electrónico Magento ha lanzado parches de seguridad para arreglar el defecto. Los investigadores dicen que actualicen ahora.

El sistema de gestión de contenido de Magento utilizado por miles de tiendas en línea ha recibido soluciones para varias vulnerabilidades graves, incluyendo un fallo de inyección SQL no autenticado que es probable que pronto se convierta en un objetivo para atacantes.

Magento, empresa propiedad de Adobe desde 2018, lanzó parches de seguridad para 37 cuestiones de seguridad que afectan tanto a las versiones comerciales y de código abierto de su plataforma. La explotación de los defectos puede permitir la ejecución de código remoto, inyección SQL, scripting cross-site, escalada de privilegios, divulgación de información y spam.

Cuatro vulnerabilidades tienen una Puntuación superior a 9 en la escala del sistema Común De Puntuación de Vulnerabilidad (CVSS), lo que significa que son críticas. De ellos, un fallo SQL de la inyección es de particular preocupación para los investigadores, ya que puede ser explotado sin autenticación. "La vulnerabilidad de SQL es muy fácil de explotar, y animamos a todos los propietarios de sitios web de Magento a actualizar a estas versiones recién parchadas para declarar sus sitios web de comercio electrónico", dijeron los investigadores de la empresa de Seguridad web Sucuri En un post en un blog.

"...animamos a todos los Magento propietario del sitio para actualizar a estos recientes versiones de parches para proteger sus sitios web de comercio electrónico."

Los investigadores ya han diseñado el parche a la inversa y han creado una prueba de explotación de trabajo de concepto para las pruebas internas. Aún no lo han hecho público, pero es muy probable que los atacantes pronto descubran por sí mismos cómo explotar el error.

Magento un popular blanco hacker

Debido a su popularidad y los sensibles datos de los clientes que procesa, la plataforma Magento es un objetivo atractivo para los hackers y ha sido blanco de ataques generalizados muchas veces en el pasado. El número de ataques contra las tiendas en línea en general ha aumentado en el último año, con algunos grupos de hackers especializados en web skimming -- la inyección de scripts corruptos en los ordenadores para capturar los datos de la tarjeta de crédito.

Las vulnerabilidades de inyección SQL permiten inyectar datos o Leer información de bases de datos. Incluso si este defecto en particular no puede ser utilizado para infectar un sitio web directamente, puede potencialmente dar a los atacantes acceso a las cuentas en un sitio. Ese acceso puede ser usado para explotar una de las otras fallas de escalado de privilegios o de ejecución de código que fueron parcheadas en esta publicación y que requieren autenticación.

"Los ataques no autenticados, como el que se ve en esta vulnerabilidad de inyección de SQL en particular, son muy serios porque pueden ser automatizados-haciendo que sea fácil para los hackers montar ataques exitosos y generalizados contra sitios web vulnerables", advirtieron los investigadores de Sucuri. "El número de instalaciones activas, la facilidad de explotación y los efectos de un ataque exitoso son lo que hace que esta vulnerabilidad sea particularmente peligrosa."

Actualizar Magento ahora

A los usuarios de Magento Commerce y Magento Open Source se les aconseja actualizar a las nuevas versiones 2.3.1, 2.2.8 y zelanda.17, dependiendo de la rama que estén usando. Para declarar rápidamente sus sitios sin implementar la actualización completa, los usuarios también tienen la opción de instalar el parche para la falla de inyección SQL (prodsecb OBLIGATION-2198) manualmente. Sin embargo, la actualización completa no debe retrasarse por mucho tiempo.