Adobe, CVE-2022-24086 olarak izlenen ve doğada istismar edilen kritik bir güvenlik açığını düzeltmek için Adobe Commerce ve Magento Açık Kaynak için acil durum güncellemelerini kullanıma sundu.
Güvenlik sorunuyla ilgili teknik ayrıntılar henüz mevcut değil ancak Adobe, bundan yararlanmanın kimlik doğrulama gerektirmediğini vurguluyor ve ciddiyetini 10 üzerinden 9,8 olarak değerlendiriyor.
Öncelikli yama
Adobe Commerce veya Magento Açık Kaynak sürüm 2.4.3-p1/2.3.7-p2 ve altı sürümleri çalıştıran çevrimiçi mağaza yöneticilerinin, CVE-2022-24086’ya öncelik vermeleri ve güncellemeyi mümkün olan en kısa sürede uygulamaları şiddetle tavsiye edilir.
Adobe Commerce 2.3.3 ve daha eski sürümleri çalıştıran web siteleri bu güvenlik açığından etkilenmez.
Pazar günü Adobe, tehdit aktörlerinin CVE-2022-24086’yı “Adobe Commerce satıcılarını hedef alan çok sınırlı saldırılarda” kötüye kullandıklarına dair bir bant dışı güvenlik bülteni yayınladı.
Hatadan başarıyla yararlanan bilgisayar korsanları, güvenlik açığı bulunan makinelerde kimlik doğrulaması olmadan uzaktan kod yürütmeyi başarabilir.
Adobe, en az 27 Ocak’ta CVE-2022-24086’nın kullanıma sunulduğu tarihten bu yana iki haftadan uzun süredir bu kritik önemdeki kusuru biliyordu. gönderilen MITRE’nin Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanına gönderildi ve bir takip numarası alındı.
E-Ticaret kötü amaçlı yazılım ve güvenlik açığı tespit hizmetleri sunan bir şirket olan Sansec, Magento 2.3 veya 2.4 çalıştıran mağazaların özel yazılımı yüklemesi gerektiğini vurguluyor. Adobe’den yama hemen, “ideal olarak önümüzdeki birkaç saat içinde.”
Sansec, 2.3.3 ile 2.3.7 arasında Magento 2 kullanan mağazalar için yamanın manuel olarak uygulanabileceğini, çünkü işlemin sadece birkaç satırı değiştirmeyi içerdiğini belirtiyor.
“Magento 2.3.3 veya daha aşağısını çalıştırıyorsanız, doğrudan savunmasız değilsiniz. Ancak Sansec yine de verilen yamanın manuel olarak uygulanmasını tavsiye ediyor” – Sansec
CVE-2022-24086’dan yararlanmanın ne kadar zor olduğu belli değil, ancak bunun basit bir süreç olmadığı görülüyor. Büyük WilliamSansec’in kurucusu ve genel müdürü, BleepingComputer’a, uzaktan kod yürütme saldırı zincirinin tamamını kopyalayabildiğine dair herhangi bir kanıt görmediğini ve bunun “önemsiz bir istismar olmadığını” belirtti.
Buna rağmen şirket, yamanın uygulanmamasının, 2015 kritik hatasına benzer şekilde ciddi sonuçları olabileceği konusunda uyarıyor. Magento Hırsızlıksiber güvenlik şirketi Check Point’teki güvenlik araştırmacıları tarafından keşfedildi.
O zamanlar, Magento Shoplift’in teknik ayrıntılarının Nisan 2015’te halka açıklanmasından önce bile istismar başladı ve 100.000’den fazla web sitesi hala savunmasız bir sürüm kullanma aylar sonra e-ticaret platformunun
Güncelleme [February 14th, 11:00 AM EST]: Makale, şirketin kurucusu ve genel müdürü Willem de Groot’un yorumlarıyla güncellendi Sansec.