近日,电子商务平台Magento下的一款非常热门的插件-Magmi被曝出了0 day漏洞,并且已经有黑客利用了这个漏洞来进行攻击。
Magento是一套专业的开源电子商务系统。Magento设计得非常的灵活,并且还具有模块化架构体系和丰富的功能,易于与第三方应用系统进行无缝集成。该系统面向企业级应用,可灵活处理各方面的需求,以及建设一个拥有多种用途和适用面广泛的电子商务网站。包括购物、航运、产品评论等等,充分利用了开源的特性,并且还提供代码库的开发,非常规范的标准,易于与第三方应用系统无缝集成。
Magmi 是Magento平台下的一款数开源的据导入工具,用户可以利用Magmi向Magento 系统目录中导入大量的产品数据,而且该插件还能提供灵活的插件模式以便用户进行业务扩展。研究人员发现,此次事件中,攻击者使用了一些不同的IP地址来扫描带有漏洞的Magmi版本。
Karl Sigler是Trustwave公司威胁情报部门的经理,他说到:“在对此次攻击事件的研究过程中,我们发现,其中有好几百次的访问请求是从两到三个不同的IP地址发出的。这也就意味着,这些攻击者正在进行扫描,而且也在进行自动攻击。这种攻击所带来的影响可能会超过我们的预测,因为这些自动化的攻击已经使我们的蜜罐系统受到了严重的破坏。”
Trustwave公司的研究人员表示,在此之前,Magento平台还存在一个目录遍历漏洞,这个漏洞允许攻击者能够访问Magento平台之中的本地XML文件,而且这些XML文件中还包含了平台中所有的凭证,证书,以及加密密钥,但这个漏洞的信息并未公布出来。
Sigler说到:“目前,最佳的安全实践方式就是不要将这个插件安装在Magento的根目录下,这样可以使系统目录或者XML文件变得更加的安全,而这也是降低安全风险最简单的方法。”
Magento已经开始向平台的用户们发送电子邮件来通知他们目前的情况,并且还敦促用户为平台的系统目录开启密码保护功能,或者创建一个访问控制列表,这样就可以防止系统目录被不法分子直接读取。
Sebastien Bracquemont是法国的一名软件开发者,Magmi插件就是由他进行开发和维护的。就现在的情况来看,Magento公司所提供的漏洞缓解方案是目前最有效的一种缓解措施。Trustwave的Sigler表示,他们已经通过多种渠道尝试去联系Bracquenmont,但均未能与他取得联系。
用户可以从两个开源代码库中获取到Magmi,即Sourceforge和Github。Sourceforge中的Magmi版本包含有这个0 day漏洞,而且当你用谷歌搜索Magmi的时候,显示在第一项的搜索结果就是它。Sourceforge上的Magmi已经有一年多没有更新了,而且在十月份,该插件的下载次数就超过了500次。与此同时,Github代码库中的Magmi是最新的版本,而且有问题的相关文件也已经移除了。
Sigler说到:“该插件的开发者可能并不经常使用Sourceforge,在将该项目迁移到了Github之后,便没有将这两个代码库中的Magmi进行同步更新,所以才导致这两个代码库中的版本是不同的。”
在过去的几个星期中,该公司的研究人员发现了相关的攻击代码,这些攻击代码会尝试搜索系统目录中的密码。目前,Trustwave公司已经在其官方网站中提供了有关此次攻击的详细信息。
GET /…sanitized…/magmi-importer/web/download_file.php? file=../../app/etc/local.xml HTTP/1.1
Sigler说到:“攻击就是通过一个简单的GET请求来实现的;整个攻击的过程非常的简单,所以它看起来就想自动化攻击一样。我们在对系统日志进行了分析之后,并没有发现任何注入代码的痕迹,很可能是因为攻击者使用了简单的脚本,并通过脚本来扫描文件系统的漏洞。”
Sigler表示,插件在安装的过程中会给用户提供安全访问这些文件的操作方法。幸运的是,大多数的Magento用户都会谨慎地遵循软件的安装向导来进行操作。