Après que la nouvelle soit sortie il y a quelques jours, je n'ai pas beaucoup entendu parler - et aucune déclaration officielle - de la toute dernière vulnérabilité. Sucuri dit qu'il est possible de recevoir des informations de carte de crédit, ou même toutes les données, $_POST
y compris les mots de passe administrateur et autres.
Je n'ai pas encore eu de cas où un client a été piraté, mais je ne veux pas attendre que cela se produise pour agir. Quelqu'un a-t-il déjà vu un patch?
security
magento-ce
simonthesorcerer
la source
la source
Réponses:
À quel type de patch ou de déclaration officielle vous attendez-vous? Le billet de blog indique seulement qu'une application Web peut être compromise une fois que l'attaquant a accès au code. Cela s'applique à chaque application Web. Le terme Magento y est totalement interchangeable. Actuellement, ils ne savent pas comment l'hôte affecté a été compromis. La porte ouverte dans les exemples donnés pourrait être tout, allant des problèmes de serveur à la "couche 8".
Tant qu'ils restent vagues et ne fournissent pas d'informations précieuses, tout cela est à peu près du marketing, comme répandre le nom de leur entreprise, faire des vagues, se positionner en tant qu'experts en sécurité, etc. Combiner des mots à la mode comme "voler" "carte de crédit" " Magento "fait évidemment une bonne histoire.
Ce que nous pouvons encore apprendre de ce post:
Mise à jour: Il y a maintenant une déclaration officielle de Ben Marks .
la source
Tant que votre version de Magento est à jour, vous avez installé tous les derniers correctifs et votre serveur répond aux meilleures pratiques en matière de configuration (autorisations de fichiers, pas un autre logiciel / site Web en cours d'exécution, pare-feu, etc.), c'est tout ce que vous pouvez faire pour l'instant .
Je pense qu'il est important de mentionner qu'il n'y a pas encore de vecteur d'attaque spécifique:
Éditer:
Comme mentionné dans mon commentaire ci-dessus, vous pouvez également consulter la réponse détaillée de Ben Lessani à une autre question connexe qui fournit des informations générales: /magento//a/72697/231
la source
Pas (seulement) Magento
J'ai vu de nombreux autres sites Web piratés de cette façon, insérant du code malveillant dans la base de code, et pas seulement dans Magento. Et il existe de nombreuses variantes: scripts volant des données POST, scripts ajoutant XSS, scripts essayant de voler les mots de passe root, scripts permettant aux appels entrants de traiter les données (pour le minage Bitcoin, d'envoyer des spams depuis ce serveur), etc ...
Dans certains cas, la cause a été volée des informations d'identification FTP (par des virus / programmes malveillants) sur un ordinateur client, dans d'autres cas, il a utilisé un exploit dans l'application.
Il existe de nombreuses autres applications qui peuvent fournir un accès au serveur via des exploits, par exemple WordPress.
Il n'y a qu'un seul cas où Magento serait à blâmer et une action de Magento est à prévoir et c'est: si l'application exploitée devait être Magento de la dernière version et entièrement corrigée.
Il n'y a donc qu'une faible chance que ce cas mis en évidence ait été causé par une défaillance de Magento en premier lieu. C'est pourquoi vous n'entendez rien de Magento.
La nouveauté ici est que le code inséré cible très spécifiquement Magento et utilise l'architecture et les principes de code de Magento.
Que faire
Maintenant, pour donner une réponse à votre question "Que faire contre cela?"
Ne jamais exécuter deux applications différentes sur la même instance de serveur
comme WordPress + Magento. Parfois, vous voyez WordPress fonctionner comme dans www.magentoshop.com/blog/ ou Magento s'exécuter sur www.wordpresswebsite.com/shop/. Ne fais pas ça. Les exploits dans WordPress peuvent donner à l'attaquant l'accès à vos données Magento.
Utilisez un système de contrôle de version
J'utilise GIT et je l'ai également sur le serveur (accès en lecture seule) pour déployer le site Web. Cela me donne également un aperçu rapide des modifications du système en cours d'exécution
git status
.N'utilisez jamais FTP, seulement SFTP, ne stockez jamais les mots de passe
J'ai mentionné ci-dessus que les mots de passe FTP ont été volés sur un ordinateur client. L'utilisation de FTP n'est pas non plus sécurisée car elle enverra des données non cryptées via Internet. Utilisez donc SFTP et ne stockez jamais vos mots de passe dans votre application FTP, ne soyez pas paresseux et saisissez-les à chaque fois que vous vous connectez à votre serveur.
la source