کمیته رکن چهارم – بستر Magento یکی از معروفترین بسترها برای توسعهی تجارت الکترونیک است که توسط بیش از ۲۵۰ هزار بازرگان در سراسر جهان مورد استفاده قرار میگیرد. محققان امنیتی هشدار دادند این بستر دارای یک آسیبپذیری بسیار حیاتی است که بهرهبرداری از آن به مهاجم اجازه میدهد تا کنترل کامل فروشگاههای برخط را در دست بگیرد.
به گزارش کمیته رکن چهارم،این آسیبپذیری در آبان ماه سال گذشته کشف و در قالب برنامهی پاداش در ازای اشکال این شرکت، گزارش شده است. در ابتدای امر این شرکت اعلام کرد که از این آسیبپذیری مطلع شده ولی تاکنون این آسیبپذیری را وصله نکرده است. شرکتی که این آسیبپذیری را کشف کرده پس از تلاش برای اطلاع از وضعیت وصلهی این آسیبپذیری، با شکست مواجه شد و تصمیم گرفت این اشکال را بهطور عمومی افشاء کند.
این آسیبپذیری در ویژگی وجود دارد که به مالکان فروشگاه برخط اجازه میدهد تا محتوای ویدئویی Vimeo را به محصول خود اضافه کنند. پس از افزودن این ویدئو، Magento بهطور خودکار از طریق یک درخواست POST تصویر پیشنمایشی را بازیابی میکند. این درخواست میتواند از نوع POST به GET تبدیل شود و به مهاجم اجازهی اجرای حملهی درخواست جعلی بین-وبگاهی۱ (CSRF) را داده و پروندهی دلخواه خود را بارگذاری کند. در حالیکه اجازهی بارگذاری تصاویر نامعتبر داده نمیشود ولی این پروندهی مخرب پیش از اعتبارسنجی بر روی کارگزار ذخیره میشود.
بهراحتی میتوان مکان پرونده را تشخیص داد و این مورد به مهاجم اجازه میدهد تا بتواند یک اسکریپت مخرب PHP را بر روی کارگزار بارگذاری کند. برای اجرای کد از راه دور، مهاجم به بارگذاری یک پروندهی htaccess. در داخل همان پوشه نیاز دارد. برای اینکه این حمله به خوبی کار کند، مهاجم باید کاربر را متقاعد کند تا صرفنظر از نقش و مجوزهای او، از پنل مدیریتی وبگاه بازدید کند. در این بازدید، کاربر با یک صفحهی جعلی و مخرب روبرو خواهد شد که میتواند حملهی CSRF را راهاندازی کند. محققان امنیتی هشدار دادند که بهرهبرداری موفق از این آسیبپذیری به مهاجمان اجازه میدهد تا کنترل کامل سامانه را در دست بگیرند. تحت این شرایط مهاجمان میتوانند به دادههای حساس مشتریان که بر روی پایگاه دادهی فروشگاه ذخیره شده، دسترسی داشته باشند.
محققان امنیتی افزودند: «بهرهبرداری از این آسیبپذیری به دسترسیهای مدیریتی نیاز ندارد چرا که در صفحهی پنل مدیریتی Magento، کاربران صرفنظر از نقش و مجوزهای خود میتوانند به تابع بازیابی تصاویر از راه دور دسترسی داشته باشند. بنابراین داشتن امتیازات سطح پایین نیز میتواند به مهاجم اجازهی بهرهبرداری داده و کنترل سامانه را در اختیار او قرار دهد.» آخرین بهروزرسانی که Magento منتشر کرده بود به ماه فوریه برمیگردد. در آن بازه، یک آسیبپذیری اجرای کد از راه دور که چند سامانه از این بستر را تحت تأثیر قرار داده بود، وصه میشد.
منبع:security week
