Vulnerabilidad crítica de inyección SQL en Magento; favor de actualizar

Magento, plataforma propiedad de Adobe, anunció el lanzamiento de un parche de actualización para corregir algunas vulnerabilidades críticas; acorde a los autores del texto ‘Cómo convertirse en hacker ético‘, una de estas vulnerabilidades es realmente fácil de explotar, además de que no se requiere autenticación para hacerlo.

Magento es una de las plataformas de comercio electrónico más utilizadas. Según las cifras proporcionadas por la propia compañía, se realizaron transacciones por más de 155 mil millones de dólares en Magento sólo durante 2018. Aproximadamente 300 mil compañías recurren al uso de este software, entre ellas Coca Cola, BevMo! (minorista de licores) y Tom Dixon (minorista de muebles). 

Acorde a los autores de ‘Cómo convertirse en hacker ético’, la mayoría de las vulnerabilidades requieren autenticación o niveles mínimos de privilegios. Sin embargo, también fue detectada una vulnerabilidad de inyección SQL que puede ser explotada sin necesidad de privilegios o autenticación.

Un ataque que no requiere autenticación puede ser realmente serio debido a que el proceso de ataque puede ser automatizado. Gracias a esto, los hackers maliciosos pueden organizar ataques a gran escala contra las plataformas vulnerables; estos factores, aunados a la facilidad de explotación y a las posibles consecuencias, vuelven especialmente peligrosa esta falla.

La vulnerabilidad de inyección SQL podría usarse para extraer nombres de usuario y contraseñas de hash de implementaciones de bases de datos como Oracle y MySQL. Los autores de ‘Cómo convertirse en hacker ético’ instan a los clientes de la compañía a actualizar sus sistemas tan pronto como sea posible para mitigar los riesgos de explotación.

Un grupo de especialistas en ciberseguridad aplicó ingeniería inversa al parche de actualización para saber exactamente qué correcciones se realizaron. Acorde a los expertos, la actualización corrige vulnerabilidades de falsificación de solicitudes entre sitios, secuencias de comandos entre sitios, inyección SQL e inyección remota de código. Los expertos confirmaron que no existen evidencias de explotación de estas fallas en ambientes reales.

Los sitios web de comercio electrónico son víctimas frecuentes de ciberataques que emplean malware para extraer datos de tarjetas de pago (card skimmers), los especialistas han detectado múltiples grupos de hackers maliciosos empleando estas técnicas para extraer información de tarjetas de pago.

A pesar de que estas no son tácticas de ataque desarrolladas recientemente, los criminales sí han refinado estos métodos, encontrando la manera de ingresar a un sistema y comprometerlo sigilosamente; incluso algunas herramientas desarrolladas por terceros para labores de marketing y análisis de datos pueden ser empleadas para robar datos de tarjetas de pago.

(Visited 158,1 times)