Hackeando uma loja Magento em segundos

Você precisava de um bom motivo para manter sua loja Magento atualizada?

Para quem não se preocupa com atualizações de segurança, falar sobre isso é como alertar o fumante que cigarro pode causar câncer no pulmão, impotência, e tantas outras coisas. O arrependimento só bate quando o problema aparece.

Mesmo assim, vou tentar fazer isso se parecer com as fotos dos maços de cigarro, só que aplicadas no mundo Magento.

Atualizações e segurança

Nos últimos 12 meses mais de 80 falhas de segurança foram corrigidas pela Magento através de atualizações e patches específicos. Hoje falarei de uma dessas falhas.

Apenas uma delas…

CVE-2019-7139, também conhecida como PRODSECBUG-2198, aborda uma falha de injeção de SQL que afeta várias versões do Magento. A falha foi descoberta por Charles Fol, um pesquisador de segurança da Ambionics.

As versões afetadas são:

• Magento Open Source <= 1.9.4.0
• Magento Commerce <= 1.14.4.0
• Magento 2.1 <= 2.1.16
• Magento 2.2 <= 2.2.7
• Magento 2.3.0

No entanto, não consegui explorar a falha em versões 1.x do Magento em meu ambiente.

Roubando a sessão

A falha em questão permite que um atacante use injeção de SQL para varrer a tabela admin_user_session e obter o session_id de um administrador logado.

No vídeo abaixo mostro na prática como consegui roubar a sessão de um administrador em uma loja Magento 2.2.4 instalada em meu ambiente local.

Não precisa ser hacker

A maioria dos ataques são feitos por robôs, ou por pessoas com algum conhecimento técnico, usando scripts fornecidos por quem descobre tais vulnerabilidades. Os scripts – também conhecidos como exploits – tem como finalidade testar e demonstrar a vulnerabilidade, a fim de que ela seja corrigida.

Obviamente e infelizmente, nem sempre estes scripts são usados desta forma.

Linha do tempo (neste caso)

O erro em questão foi reportado para a Magento em Novembro de 2018 através de uma plataforma de recompensas (Bugcrowd). A Magento recompensou os pesquisadores pela descoberta e publicou o release com a correção em Março de 2019.

Links úteis

• Como atualizar o Magento 1.x
• Como atualizar o Magento 2.x
• Patch para o PRODSECGUB-2198 mostrado aqui
• Patches de segurança para Magento 1.x
• Patches de segurança para Magento 2.x Open Source
• Como aplicar um patch de segurança no Magento 1.x
• Outras configurações de segurança do Magento são explicadas no curso Administração de Lojas Magento 2

• Sobre
• Últimos Posts

Ricardo Martins

É desenvolvedor web há 16 anos e um dos primeiros certificados pela Magento no Brasil. Instrutor de mais de 11 cursos Magento (os principais no magenteiro.com/cursos) com mais de 14 mil alunos de 105 países, é também criador do módulo PagSeguro Transparente, usado em mais de 12 mil lojas.

Últimos posts por Ricardo Martins (exibir todos)

• PagSeguro (PagBank) para Magento 1 recebe a Nova Geração - 9 de abril de 2024
• Recorrência no WooCommerce Sem Plugins Pagos - 28 de janeiro de 2024
• Chargeback. O que é, e como se livrar deles. - 19 de dezembro de 2023