Luka w zabezpieczeniach platformy Magento

29 kwietnia, 2015

Firma Check Point, będąca największym dostawcą rozwiązań z dziedziny bezpieczeństwa Internetu ogłosiła, że zespół badawczy ds. badań nad malware i podatnościami wykrył krytyczną wadę RCE (remote code execution) w platformie e-commerce Magento (grupa eBay), z której korzysta blisko 200 000 sklepów online’owych.
 
Wykorzystując lukę, hakerzy mają możliwość otwarcia kodu PHP, dzięki czemu mogą przechwycić dane dostępowe administratorów. Z poziomu systemu hakerzy są w stanie przejąć kontrolę nad bazami danych, wykraść dane kart kredytowych a także infaormacje osobiste użytkowników. 

Ponieważ zakupy internetowe systematycznie wypierają sprzedaż w sklepach stacjonarnych, strony e-commerce będą coraz częściej przedmiotem ataków ze względu na dużą wartość informacji na temat kart kredytowych – twierdzi Shahar Tal, kierownik zespołu ds. badań nad podatnościami na zagrożenia w firmie Check Point Point Software Technologies.
– Podatność na ataki hakerów to zagrożenie nie dla jednego sklepu ale dla wszystkich marek, które korzystają z platformy Magento do obsługi swoich sklepów internetowych. Łącznie usługobiorcy Magento stanowią około 30% całego rynku e-commerce.

Przed upublicznieniem informacji Check Point przedstawił firmie eBay informacje o wykrytych lukach w zabezpieczeniach wraz z listą proponowanych poprawek. Łatka usuwająca zagrożenie została wydana 9 lutego 2015 (SUPEE-5344 dostępna tutaj). Właściciele i administratorzy sklepów zostali wezwani do natychmiastowego zastosowania poprawki.
 
Klienci Check Pointa są chronieni przed wykorzystaniem luki przez ostrza oprogramowania IPS. By zyskać więcej informacji odwiedź blog: http://blog.checkpoint.com/

źródło: Check Point

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]