Egy a kiberbűnözők által régóta ismert hibát talált a Trustwave a nyílt forráskódú Magento e-kereskedelmi platform egyik bővítményében, a Magmiban. A rendszert, melynek van fizetős, vállalati kiadása is, a három éve az eBay birtokába került Magento Inc. fejleszti. A meglehetősen népszerű platformot világszerte több százezren használják – írta összefoglalójában a Biztonságportál.

A hibát tartalmazó bővítmény, a Magmi fontos eleme a platformnak. A bővítmény segítségével lehet megoldani, hogy a webáruház katalógusát gyorsan és egyszerűen lehessen frissíteni. Akár milliós nagyságrendű elemet tartalmazó katalógust is jól kezel a termékfotókkal együtt, így nem véletlen, hogy népszerű. Még az olyan nagy cégek, mint az Olympus, a Nike vagy a Harper's Bazaar, is előszeretettel használják.

Nem mindegy, honnan szerzik be

A Trustwave a bővítmény egy download_file.php nevű állományában találta meg a biztonsági rést. Ez arra vezethető vissza, hogy a fájl nem minden esetben ellenőrzi megfelelően a webes kérésekben megadott paramétereket. Mivel a Magmi a Magento könyvtárában kap helyet, ezért a támadók ún. directory traversal típusú támadások révén olyan állományokhoz is hozzáférést szerezhetnek, amelyeket egyébként nem tudnának letölteni. Ez végső soron adatszivárgáshoz vezethet. Többek között jelszavakat, de akár pénzügyi információk is megszerezhetnek így illetékesek.

A Magento elkezdte a platformját használó webárauházak vizsgálatát, és első körben 1700-ban találta meg a hibát. Persze a több százezres felhasználói tábort nézve ennél jóval több problémás oldal működhet szerte a világon.

A bizonytalanság jelen esetben arra vezethető vissza, hogy a nyílt forráskódú programok több  különböző forrásból is beszerezhetők. A Magminak például két hivatalos forrása is van: az egyik a nagyon népszerű repository szolgáltatás, a GitHub, a másik pedig a nyílt forráskódú forráskódok talán legnagyobb gyűjteménye, a SourceForge.

Csakhogy valamilyen érthetetlen okból a fejlesztők 2014 vége óta csak a GitHubon lévő változatot frissítették. Aki tehát tavaly év vége óta a SourceForge-ról töltötte le a kiegészítő forrását (a 0.7.21 verziót), gyakorlatilag nem kapta meg az azóta elkészült biztonsági frissítéseket. A GitHubról letölthető nem tartalmazza a hibát, abban ugyanis a múlt havi frissítés során kijavították.

A nem frissített változat terjedéséhez az is hozzájárult, hogy a Google keresője a SourceForge-on található változatot dobja fel első helyen, így nyilván sokan ne is keresgéltek tovább, azzal meg aztán végképp nem foglalkoztak, hogy összevessék a verziókat.

Volt már probléma vele

A Magentóval egyébként korábban is voltak gondok. Idén áprilisban a Check Point kutatói találtak benne súlyos sérülékenységet, amely szintén adatlopásra adott lehetőséget. Kihasználásával a hackerek a fizetésekhez tartozó bizalmas, pénzügyi információkhoz is hozzáférhettek.

A Magento ugyan befoltozta a biztonsági rést, de a javítást a magentós webáruházat üzemeltető felhasználók egy része nem telepítette.