חדשות מג'נטו

אתר sucuri מדווח על סיכון אבטחה לאתרי מג'נטו בשם Magento Killer. על אף שסיכון אבטחה זה אינו "הורג" אתרי מג'נטו, הוא מאפשר להאקרים לשנות מידע בטבלה core_config_data של אתרי מג'נטו.

 

סיכון אבטחה זה מתרחש כאשר בשלבים הראשונים של מתקפת האקרים על אתר מג'נטו, מוזרקות לבסיס הנתונים של אתר מג'נטו שאילתות SQL מקודדות base64. תוצאת הזרקת SQL זו מתבטאת ביכולת לגנוב פרטי כטיסי אשראי בהם נעשה שימוש בחנות המקוונת. מג'נטו אמנם מצפין מידע כרטיסי אשראי, אולם במצב הנוכחי של מתקפה כזו - הצפנה זו אינה מספקת הגנה כלשהי מכיוון שהמתקפה מאפשרת גם גניבת מפתח ההצפנה מקובץ ./app/etc/local.xml וכך לפענח את הצפנת פרטי האשראי השמורים במג'נטו.

 

על מנת שתוקפי מג'נטו יוכלו לעשות שימוש בפרטי כרטיסי האשראי שגנבו, נמצא שהם מבצעים הזרקת SQL נוספת לבסיס הנתונים של החנות המקוונת וגונבים גם את הפרטים הבאים: שם מלא של בעל הכרטיס, כתובת דוא"ל, כתובת מגורים ומידע נוסף שבעל הכרטיס ציין.

 

מומלץ לכל בעלי אתרי מג'נטו לבצע סריקה מקצועית של האתר במטרה לגלות סיכון אבטחה זה או סיכוני אבטחה אחרים וכן, להגביר את מערך האבטחה של האתר.