Для опасной уязвимости в нулевого дня в Magento и Adobe Commerce (CVE-2022-24086) появился эксплоит, а разработчики Adobe обнаружили, что проблему можно было эксплуатировать еще одним способом, выпустили новый патч и присвоили новой уязвимости идентификатор CVE-2022-24087.

Напомню, что 0-day уязвимость CVE-2022-24086 (9,8 балла из 10 по шкале CVSS) была обнаружена и исправлена на прошлой неделе. Баг представлял собой ошибку, допускающую удаленное выполнение произвольного кода без аутентификации. По данным Adobe, корень проблемы заключался в некорректной проверке ввода.

Еще на прошлой неделе компания предупредила, что этой проблемой уже злоупотребляют хакеры, пусть пока и в редких таргетированных атаках. По оценкам исследователей, в общей сложности существует более 17 000 уязвимых перед этой проблемой сайтов, причем некоторые из них принадлежат крупным предприятиям.

Теперь разработчики Adobe обновили бюллетень безопасности для CVE-2022-24086, добавив к нему новую проблему, которая имеет идентификатор CVE-2022-24087 и ту же оценку по шкале CVSS. Новая проблема тоже может привести удаленному выполнению кода и использоваться в атаках. Специалисты компании уже выпустили дополнительные патчи для Adobe Commerce и Magento Open Source.

Обнаружение второй критической ошибки (CVE-2022-24087) приписывают ИБ-исследователям, известным под псевдонимами Eboda и Blaklis. Причем они подчеркивают, что применения только первого патча недостаточно.

Интересно, что по данным другого ИБ-специалиста и сертифицированного разработчика Magento Фабиана Шменглера, свежее исправление для CVE-2022-24087 (MDVA-43443) нарушает конфигурацию CSS для Template Styles в почтовых шаблонах, «потому что все фигурные скобки удалены для очистки ввода». Впрочем, он пишет, что менее красочные письма — хороший компромисс, если особенно если это позволяет не подвергаться воздействию RCE-уязвимости.

Тем временем, аналитики компании Positive Technologies и вовсе сообщили, что создали работающий эксплоит для изначальной проблемы CVE-2022-24086. Исследователи сообщают, что злоумышленники, использующие эту ошибку, могут получить «полный доступ к целевой системе с привилегиями веб-сервера».

Издание Bleeping Computer, пообщавшееся со специалистами, рассказывает, что попытки защититься от эксплуатации этого бага через настройку WAF, вряд ли можно назвать хорошей идеей, поскольку проблему можно эксплуатировать несколькими способами, которые не подразумевают наличие «конкретных и неустранимых конструкций в запросе».

По данным Positive Technologies, разработка полноценного эксплоита — довольно сложная задача, пока технические детали недоступны. Однако, как только это препятствие устранено, атаки на уязвимые системы становятся «достаточно простыми и понятными».

Исследователи заявили, что они не намерены обнародовать созданный ими PoC-эксплоит и даже не собираются делиться им в частном порядке с коллегами по индустрии информационной безопасности.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии