Sélectionner une page


Magento exhorte les utilisateurs à appliquer une mise à jour de sécurité pour l'erreur RCE

L’équipe de sécurité de Magento a exhorté les utilisateurs à installer la dernière mise à jour de sécurité publiée pour protéger leurs magasins contre les tentatives d’exploitation tentant d’exploiter une vulnérabilité d’exécution de code à distance (RCE) récemment signalée.

Le problème affecte Magento Commerce 2.3.1 et Magento Commerce 2.3.2 où le correctif de sécurité uniquement 2.3.2-p2 n’a pas été installé, ainsi que les versions non prises en charge de Page Builder telles que. B. Page Builder Beta.

« Les marchands exécutant Magento Commerce 2.3.x doivent installer la dernière mise à jour de sécurité pour protéger leurs magasins contre les attaques malveillantes potentielles qui pourraient tirer parti d’un vulnérabilité dans les méthodes de prévisualisation », a déclaré Magento.

« Cette vulnérabilité pourrait permettre à un utilisateur non authentifié d’injecter et d’exécuter une charge utile malveillante sur le site Web d’un marchand. Par conséquent, nous vous recommandons d’installer cette mise à jour. »

Actions recommandées pour les magasins Magento non corrigés

La question de sécurité a été considérée comme résolue CVE-2019-8144 était couvert dans la version Magento 2.3.3 et le correctif de sécurité uniquement Magento 2.3.2-p2 émis le 8 octobre 2019.

L’équipe de sécurité de Magento recommande également aux fournisseurs qui ont corrigé leurs systèmes contre la vulnérabilité de «revoir la sécurité de leur site Magento pour s’assurer qu’il n’a pas été potentiellement compromis avant la mise à niveau», car l’application de la mise à jour de sécurité réduira l’impact des attaques précédentes. ne sont pas atténués.

Les utilisateurs sont invités à prendre les mesures suivantes dès que possible:

Pour les revendeurs Magento 2.3.1:

  • Installez maintenant le correctif MDVA-22979_EE_2.3.1_v1 et prévoyez de passer à 2.3.3 ou 2.3.2-p2 dès que possible.
  • Vérifiez votre site et votre serveur pour des signes de compromis potentiels.

Pour les revendeurs Magento 2.3.2:

  • Maintenant, installez le correctif MDVA-22979_EE_2.3.2_v1 et prévoyez de passer à 2.3.3 ou 2.3.2-p2 dès que possible.
  • Vérifiez votre site et votre serveur pour des signes de compromis potentiels.

L’équipe de sécurité de Magento déclare que les commerçants peuvent télécharger les deux correctifs listés ci-dessus à partir de leur compte sur la plateforme magento.com.

Les clients cloud de Magento Commerce sont déjà protégés. Toutes les mesures ont été mises en œuvre pour bloquer les tentatives d’exploitation de la vulnérabilité CVE-2019-8144.

« Cependant, cette action a pour effet secondaire d’empêcher les administrateurs de prévisualiser les produits, les blocs et les blocs dynamiques. » L’équipe de sécurité de Magento conclut. « Nous réactiverons la fonction de prévisualisation dès que possible. »

Les gangs Magecart menacent les magasins Magento inédits

Les marchands qui utilisent Magento Commerce pour alimenter leurs boutiques en ligne sont constamment sollicités par les soi-disant Groupes de chars de mage, des acteurs de la menace notoires qui ont exploité des entreprises compromises dans le cadre d’attaques e-skimming.

Ces groupes de cybercriminalité seraient actifs au moins en 2010 un rapport RiskIQ d’octobre Ils sont connus pour se concentrer sur les sites Web de commerce électronique activés par Magento, bien qu’ils se soient récemment développés. Incluez également les boutiques en ligne OpenCart, PrismWeb et OSCommerce dans vos campagnes.

Le rapport Magecart de RiskIQ publié le mois dernier estime que les opérations d’écrémage Web de ces gangs pourraient avoir affecté des millions d’utilisateurs. Les données de télémétrie de la société montrent un total de 2 086 529 cas de détections Magecart.

Image: RiskIQ

Rien qu’en 2019, les gangs de Magecart ont mené avec succès des campagnes d’écrémage de cartes 962 magasins de commerce électronique violés, a ajouté un script d’écrémage de carte de paiement à PrismWeb Pages de paiement de centaines de boutiques en ligne sur le campuset utilisé mise à jour des scripts de vol de carte de crédit Utilisation d’un système de phishing basé sur iframe.

Ils ont également développé un script de skimmer magecart polymorphe Cela prend en charge 57 passerelles de paiement et peut être facilement ajouté à presque toutes les pages de paiement d’une boutique en ligne pour effacer automatiquement les informations de paiement des clients sans aucun ajustement.

Le Federal Bureau of Investigation (FBI) des États-Unis a émis une alerte le mois dernier pour sensibiliser aux menaces actuelles d’écrémage électronique Il est connu pour être destiné aux petites et moyennes entreprises ainsi qu’aux agences gouvernementales qui traitent les paiements en ligne.



Source link

Recent Posts