Эксперты компании SanSec обнаружили, что владельцы магазинов на базе Magento и Adobe Commerce, умышленно обходят исправление для критической уязвимости, выпущенное весной 2022 года. Из-за этого сайты магазинов опять становятся уязвимыми для атак, а некоторые уже были взломаны.
Речь идет об уязвимости CVE-2022-24086 (9,8 балла из 10 по шкале CVSS), которая допускает удаленное выполнение произвольного кода без аутентификации и затрагивает Magento и Adobe Commerce. Этот баг был устранен в феврале 2022 года, и уже тогда разработчики предупреждали, что уязвимость эксплуатируют хакеры, пусть и в редких таргетированных атаках.
Вскоре обнаружилось, что выпущенный патч можно легко обойти, и специалисты Adobe представили вторую серию исправлений и присвоили проблеме новый идентификатор (CVE-2022-24087). Также примерно это время появился PoC-эксплоит, нацеленный на эту проблему. Массовые атаки на уязвимость начались ближе к концу 2022 года.
Аналитики SanSec объясняют, что ради исправления уязвимости инженеры Adobe удалили «умные» почтовые шаблоны и заменили старый резолвер переменных почтовых шаблонов новым, чтобы предотвратить потенциальные инжекты. Дело в том, что баг позволял злоумышленникам размещать вредоносные заказы в уязвимых магазинах, злоупотребляя функциональностью почтовых шаблонов, что в итоге вело к захвату контроля над уязвимым сайтом.
Но, как выяснилось теперь, внесенные компанией изменения не понравились многим поставщиками и владельцам сайтов, некоторые из которых предпочли «вернуться к исходной функциональности» в ущерб безопасности. При этом они вновь подвергли свои магазины критической уязвимости, хотя и установили все необходимые патчи.
По данным компании, дошло до того, что некоторые поставщики пытались либо повторно активировать старый резолвер, либо изменяли функциональность нового (копируя код из более старых версий Magento).
«Мы наблюдали это опасное поведение в нескольких компаниях, а также у поставщиков расширений. Вероятно, таким образом они пытаются избежать необходимости обновлять свои email-шаблоны для совместимости с новым [резолвером]», — объясняют специалисты.
Причем в ряде случаев люди определенно понимали, что делают, так как они пытались снизить риски, добавляя в систему заказов базовую фильтрацию небезопасного user input. Аналитики отмечают, что это не поможет предотвратить эксплуатацию бага, учитывая, что уязвимость можно использовать и из других подсистем, если они хоть как-то связаны с электронной почтой.