ในสัปดาห์นี้ Adobe ได้แก้ไขช่องโหว่ที่มีความรุนแรงสูงหลายจุดในแพลตฟอร์ม Magento ซึ่งทำให้เว็บไซต์หลายแสนแห่งเสี่ยงต่อการใช้รหัสโดยอำเภอใจและการโจมตีเพื่อปลอมแปลงรายชื่อลูกค้า
Magento เป็นแพลตฟอร์มระบบจัดการเนื้อหา (CMS) ที่ได้รับความนิยมสูงสุดเป็นอันดับสองรองจาก WordPress ซึ่งให้บริการไซต์อีคอมเมิร์ซที่ใช้งานอยู่กว่า 250,000 แห่ง ซึ่งคิดเป็นประมาณ 12% ของร้านค้าออนไลน์ทั้งหมด และจากข้อมูลของ Magento.com เว็บไซต์ Magento-base จะจัดการธุรกรรมมากกว่า 155 พันล้านดอลลาร์ทุกปี
พบช่องโหว่ Magento และเวอร์ชัน Magento ที่ได้รับผลกระทบ
ในกระดานข่าวความปลอดภัย [ASPB20-59] Adobe ได้เปิดตัวแพตช์สำหรับช่องโหว่ทั้งหมด 9 ช่องโหว่ที่ส่งผลกระทบต่อแพลตฟอร์ม Magento Commerce และ Magento Open Source ช่องโหว่ 8 ใน 9 ช่องโหว่นี้ถือเป็นช่องโหว่ที่สำคัญหรือสำคัญ ขณะที่ช่องโหว่หนึ่งถือเป็นช่องโหว่ Magento ระดับปานกลาง
ข้อบกพร่องที่สำคัญสองประการในแพลตฟอร์ม Magento ถูกติดตามเป็น File Upload Allow List Bypass (CVE-2020-24407) และ SQL Injection (CVE-2020-24400) ที่สามารถอนุญาตให้แฮ็กเกอร์รันโค้ดตามอำเภอใจและยังสามารถให้สิทธิ์การอ่านหรือเขียน ไปยังฐานข้อมูลของไซต์ Magento ของเหยื่อ แต่ข้อบกพร่องทั้งสองนี้ต้องการให้แฮ็กเกอร์ได้รับสิทธิ์ของผู้ดูแลระบบแล้ว
ในขณะที่ XSS ที่เก็บไว้ (CVE-2020-24408) หากถูกโจมตี สามารถอนุญาตให้แฮ็กเกอร์เรียกใช้ JavaScript ในเบราว์เซอร์ได้ตามอำเภอใจ และไม่จำเป็นต้องมีการตรวจสอบสิทธิ์ล่วงหน้า (เช่น สิทธิ์ของผู้ดูแลระบบ) สำหรับการเอารัดเอาเปรียบ
ไซต์ Magneto ที่ใช้ Astra Security Magento Firewall ได้รับความปลอดภัยจากการเปิดเผยช่องโหว่ที่กล่าวถึงข้างต้นแล้ว
นอกจากนี้ กระดานข่าวความปลอดภัยยังได้ระบุรายการเวอร์ชันที่ได้รับผลกระทบของแพลตฟอร์ม Magento:
วิธีรักษาความปลอดภัยให้กับไซต์ Magento ของคุณจากช่องโหว่เหล่านี้
หากเว็บไซต์หรือร้านค้าอีคอมเมิร์ซของคุณใช้งาน Magento เวอร์ชันเก่า ขอแนะนำเป็นอย่างยิ่งให้อัปเดตการติดตั้งของคุณเป็นเวอร์ชันล่าสุดเพื่อรักษาความปลอดภัยให้กับไซต์/ร้านค้า Magento ของคุณจากช่องโหว่เหล่านี้ นี่คือรายการเวอร์ชันที่อัปเดต/ล่าสุดสำหรับผลิตภัณฑ์ Magento ที่เกี่ยวข้อง:
นอกจากนี้ การติดตั้งไฟร์วอลล์เว็บแอปพลิเคชัน (WAF) สำหรับเว็บไซต์หรือร้านค้าอีคอมเมิร์ซของคุณสามารถช่วยคุณได้เสมอ WAF สามารถให้การรักษาความปลอดภัยจากช่องโหว่ที่อาจเกิดขึ้นดังกล่าวในไฟล์ไซต์ ปลั๊กอิน ส่วนขยาย และธีมของคุณ
วิธีที่ Astra Security Magneto Firewall ทำงานบนเว็บไซต์ของคุณ
Astra Security WAF กรองทราฟฟิกที่เป็นอันตรายและภัยคุกคามที่อาจเกิดขึ้น และให้การป้องกันที่ชาญฉลาดแก่เว็บไซต์ / ร้านค้าอีคอมเมิร์ซของคุณ มันบล็อก XSS, SQLi, CSRF, บอทที่ไม่ดี, OWASP ด้านบน 10 และ 100+ การโจมตีทางไซเบอร์อื่น ๆ ไฟร์วอลล์อัจฉริยะนี้จะตรวจจับรูปแบบผู้เยี่ยมชมบนเว็บไซต์ของคุณและบล็อกแฮ็กเกอร์ด้วยเจตนามุ่งร้ายโดยอัตโนมัติ