Для опасной уязвимости в нулевого дня в Magento и Adobe Commerce (CVE-2022-24086) появился эксплоит, а разработчики Adobe обнаружили, что проблему можно было эксплуатировать еще одним способом, выпустили новый патч и присвоили новой уязвимости идентификатор CVE-2022-24087.
Напомню, что 0-day уязвимость CVE-2022-24086 (9,8 балла из 10 по шкале CVSS) была обнаружена и исправлена на прошлой неделе. Баг представлял собой ошибку, допускающую удаленное выполнение произвольного кода без аутентификации. По данным Adobe, корень проблемы заключался в некорректной проверке ввода.
Еще на прошлой неделе компания предупредила, что этой проблемой уже злоупотребляют хакеры, пусть пока и в редких таргетированных атаках. По оценкам исследователей, в общей сложности существует более 17 000 уязвимых перед этой проблемой сайтов, причем некоторые из них принадлежат крупным предприятиям.
Теперь разработчики Adobe обновили бюллетень безопасности для CVE-2022-24086, добавив к нему новую проблему, которая имеет идентификатор CVE-2022-24087 и ту же оценку по шкале CVSS. Новая проблема тоже может привести удаленному выполнению кода и использоваться в атаках. Специалисты компании уже выпустили дополнительные патчи для Adobe Commerce и Magento Open Source.
Обнаружение второй критической ошибки (CVE-2022-24087) приписывают ИБ-исследователям, известным под псевдонимами Eboda и Blaklis. Причем они подчеркивают, что применения только первого патча недостаточно.
A new patch have been published for Magento 2, to mitigate the pre-authenticated remote code execution. If you patched with the first patch, THIS IS NOT SUFFICIENT to be safe.
— Blaklis (@Blaklis_) February 17, 2022
Please update again!https://t.co/vtYj9Ic6ds@ptswarm (as you had a PoC too!)#magento
Интересно, что по данным другого ИБ-специалиста и сертифицированного разработчика Magento Фабиана Шменглера, свежее исправление для CVE-2022-24087 (MDVA-43443) нарушает конфигурацию CSS для Template Styles в почтовых шаблонах, «потому что все фигурные скобки удалены для очистки ввода». Впрочем, он пишет, что менее красочные письма — хороший компромисс, если особенно если это позволяет не подвергаться воздействию RCE-уязвимости.
Attention: The new Magento security patch MDVA-43443 breaks the "Template Styles" configuration because all curly braces are removed to sanitize input. Guess what, CSS needs curly braces
— Fabian Schmengler (@fschmengler) February 18, 2022
I don't have a secure workaround yet, but better some less colorful emails than a RCE vuln
Тем временем, аналитики компании Positive Technologies и вовсе сообщили, что создали работающий эксплоит для изначальной проблемы CVE-2022-24086. Исследователи сообщают, что злоумышленники, использующие эту ошибку, могут получить «полный доступ к целевой системе с привилегиями веб-сервера».
? We have reproduced the fresh CVE-2022-24086 Improper Input Validation vulnerability in Magento Open Source and Adobe Commerce.
— PT SWARM (@ptswarm) February 17, 2022
Successful exploitation could lead to RCE from an unauthenticated user. pic.twitter.com/QFXd7M9VVO
Издание Bleeping Computer, пообщавшееся со специалистами, рассказывает, что попытки защититься от эксплуатации этого бага через настройку WAF, вряд ли можно назвать хорошей идеей, поскольку проблему можно эксплуатировать несколькими способами, которые не подразумевают наличие «конкретных и неустранимых конструкций в запросе».
По данным Positive Technologies, разработка полноценного эксплоита — довольно сложная задача, пока технические детали недоступны. Однако, как только это препятствие устранено, атаки на уязвимые системы становятся «достаточно простыми и понятными».
Исследователи заявили, что они не намерены обнародовать созданный ими PoC-эксплоит и даже не собираются делиться им в частном порядке с коллегами по индустрии информационной безопасности.
