Adobe ha rilasciato un avviso di sicurezza che riguarda il CMS Magento e Adobe Commerce: è stata infatti identificata una vulnerabilità di tipo RCE (Remote Code Execution) censita come CVE-2022-24086 che, se sfruttata, potrebbe consentire di eseguire codice remoto arbitrario a causa di un problema sulla convalida dell’input.
La vulnerabilità è sfruttabile senza credenziali né autenticazione ed è classificata come critica. Alla stessa è stato assegnato un punteggio CVSS di 9,8 su 10.
Indice degli argomenti
I dettagli della vulnerabilità su Magento
Il team di ricerca di Malwarebytes Lab avverte: “Un utente malintenzionato remoto e non autorizzato può inviare una richiesta dannosa all’applicazione ed eseguire codice arbitrario sul server di destinazione. Il corretto sfruttamento di questa vulnerabilità può comportare la completa compromissione del sistema interessato”.
Come detto, gli applicativi interessati da questa vulnerabilità zero-day sono Magento, CMS open source per la gestione di siti web e-commerce per store online, e Adobe Commerce, una soluzione commerciale direttamente creata da Adobe, basata su Magento, che include servizi integrati per la gestione del negozio a più ampio spettro.
Nello specifico, le versioni impattate sono la 2.4.3-p1, la 2.3.7-p2 e precedenti. Ricordiamo che Magento Inc è stata acquisita da Adobe nel 2018.
Trattandosi di vulnerabilità zero-day, Adobe preferisce non entrare nello specifico dei dettagli sul difetto, che presenta già casi di sfruttamento andati a buon fine. Non viene descritto, per lo stesso motivo, il metodo utilizzato per il rilevamento del problema, il tutto al fine di evitare ulteriori esposizioni delle installazioni di Magento attualmente online.
Con questi numeri di versione affetti da vulnerabilità, viene da sé immaginare che la versione Magento 1 è sicuramente ricompresa in questo zero-day come in tanti altri precedenti, in quanto release non più supportata dalla casa sviluppatrice.
Possibili soluzioni di mitigazione del rischio
Il problema più profondo, infatti, è sempre l’aggiornamento dei CMS online, già in produzione. Si è notato, infatti, che Magento 1, che appunto è obsoleto e senza patch, risulta ancora oggi particolarmente utilizzato nel settore. Questo è un ottimo esempio del motivo per cui è così importante controllare sia i partner a valle che quelli a monte come parte di qualsiasi buon programma di gestione del rischio di terze parti.
Questa tipologia di vulnerabilità, su software come Magento, sono oggetto di sfruttamento pratico che si manifesta con attacchi su larga scala, vista la diffusione dell’applicativo online. Un esempio estremamente recente sul popolare CMS è quello della settimana appena passata, secondo il quale gli analisti di Sancec hanno scoperto l’origine di una violazione massiva di oltre 500 negozi di e-commerce che utilizzano la piattaforma Magento 1 e coinvolge un singolo dominio che carica uno skimmer per carte di credito su tutte le installazioni.
Secondo Sansec, l’attacco è diventato evidente alla fine del mese scorso quando il loro crawler ha scoperto 374 infezioni lo stesso giorno, tutte utilizzando lo stesso malware.
Doveroso ricordare che, in contemporanea con il rilevamento della zero-day, Adobe rilascia la patch di aggiornamento e invita chiunque interessato a eseguire l’update delle proprie piattaforme in produzione.
