Magento không phổ biến ở phân khúc website Blog (tin tức, blog cá nhân) giống như wordpress. Nhưng đối với các website TMDT lớn thì Magento là số 1. Cũng từ lâu lắm rồi, Magento mới có lỗ hổng bảo mật lớn như lần này, Magento SQL Injection
Nếu doanh nghiệp của Bạn đang sử dụng website thương mại điện tử trực tuyến và đang chạy trên nền tảng Magento, bạn phải đọc bài này hoặc gửi cho đội IT ngay lập tức.
Magento đã phát hành (28/3/2019) phiên bản mới của phần mềm quản lý nội dung để giải quyết tổng cộng 37 lỗ hổng bảo mật mới được phát hiện.
Được sở hữu bởi Adobe từ giữa năm 2018, Magento là một trong những nền tảng hệ thống quản lý nội dung (CMS) phổ biến nhất cung cấp 28% trang web trên Internet với hơn 250.000 công ty sử dụng nền tảng thương mại điện tử nguồn mở.
Mặc dù hầu hết các vấn đề được báo cáo chỉ có thể được khai thác bởi người dùng đã được xác thực (Có user được phân quyền), một trong những lỗ hổng nghiêm trọng nhất trong Magento là lỗ hổng SQL Injection có thể bị khai thác bởi những kẻ tấn công từ xa không được xác thực.
Lỗ hổng không có ID CVE nhưng được gắn nhãn nội bộ "PRODSECBUG-2198" có thể cho phép tin tặc từ xa đánh cắp thông tin nhạy cảm từ cơ sở dữ liệu của các trang web thương mại điện tử dễ bị tấn công, bao gồm cả phiên quản trị viên hoặc "băm mật khẩu" có thể cấp cho tin tặc truy cập bảng điều khiển của quản trị viên.
Các phiên bản Magento bị ảnh hưởng bao gồm:
Mã nguồn mở Magento trước 1.9.4.1
Magento Commerce trước 1.14.4.1
Magento Commerce 2.1 trước 2.1.17
Magento Commerce 2.2 trước 2.2.8
Magento Commerce 2.3 trước 2.3.1
Chỉ cần Quý Khách đăng ký VPS / Server tại HostingViet, sẽ được miễn phí quản trị Server
Dưới đây là danh sách các công việc quản trị Server thường gặp:
- Cài đặt tối ưu VPS
- Cấu hình network
- Cập nhập bản vá lỗi
- Cấu hình bảo mật cho VPS/Server
- Cài đặt các phần mềm và dịch vụ khác theo yêu cầu
- Chuyển dữ liệu về VPS... (đọc thêm)
Vì các trang web Magento không chỉ lưu trữ thông tin của người dùng mà còn chứa lịch sử đặt hàng và thông tin tài chính của khách hàng, lỗ hổng này có thể dẫn đến các cuộc tấn công trực tuyến thảm khốc nhắm vào thẻ ngân hàng.
Do tính chất nhạy cảm của dữ liệu mà các trang web thương mại điện tử Magento xử lý hàng ngày cũng như rủi ro mà lỗ hổng SQL thể hiện, các nhà phát triển Magento đã quyết định không tiết lộ chi tiết kỹ thuật về lỗ hổng.
Bên cạnh lỗ hổng SQLi, Magento cũng đã vá lỗi giả mạo yêu cầu chéo trang (CSRF), kịch bản chéo trang (XSS), thực thi mã từ xa (RCE) và các lỗi khác, nhưng việc khai thác phần lớn các lỗ hổng đó yêu cầu kẻ tấn công phải được xác thực các trang web với một số mức độ đặc quyền.
Chủ các website trực tuyến được khuyến khích nâng cấp các trang web thương mại điện tử của họ lên các phiên bản được vá gần đây càng sớm càng tốt trước khi tin tặc bắt đầu khai thác lỗ hổng để thỏa hiệp trang web của bạn và đánh cắp thông tin thẻ thanh toán của khách hàng.
>>Bài viết nên xem:
Lỗ hổng bảo mật nghiêm trọng trên Apache, Hãy update ngay trước khi quá muộn
Cảnh báo về lỗ hổng bảo mật XSS cực kỳ nguy hiểm trong WordPress
Cấu hình bảo mật cho Server Linux không bị tấn công từ lỗi Memcached
Nhà cung cấp Tên Miền - Hostsing - VPS tốt nhất Việt Nam
Là đơn vị thuộc top 3 lĩnh vực dịch vụ lưu trữ website tại Việt Nam, Hostsing Việt được đánh giá là nhà cung cấp tên miền giá rẻ và Hostsing giá rẻ cũng như luôn nhận được nhiều lời giới thiệu từ diễn đàn tin học về nơi mua Hosts ở đâu tốt . Chỉ từ 50.000đ/tháng, người dùng đã có ngay cho mình một Hosts để thỏa sức học tập, nghiên cứu hoặc chạy demo website… Bên cạnh đó, Hostsing Việt còn là đơn vị luôn tiên phong trong công nghệ điện toán đám mây (cloud Hostsing),gói thuê server với băng thông khủng không giới hạn.
Hostsing Việt có đa dạng gói dịch vụ, bên cạnh những gói giá siêu rẻ 50.000đ/tháng, nhà cung cấp còn có những vps giá rẻ chất lượng dành cho nhiều nhóm doanh nghiệp khác nhau. Các gói này luôn đáp ứng đủ nhu cầu lưu trữ, truy cập hàng chục nghìn người mỗi ngày.
Ngoài ra, với dịch vụ chăm sóc khách hàng chuyên nghiệp, đội ngũ kỹ thuật viên có chuyên môn cao sẽ nhanh chóng hỗ trợ, xử lý các vấn đề phát sinh. Từ đó, giúp người dùng có được sự trải nghiệp mượt mà, thú vị.
Qua bài viết trên Hostsing Việt đã giúp bạn có thêm nhiều thông tin bổ ích! Hi vọng bạn sẽ có thể trang bị thêm thật nhiều kiến thức khác mà chúng tôi đã chia sẻ! Nếu thấy bài viết này hữu ích hãy subscribe để theo dõi những thông tin mới nhất từ Hostsing Việt nhé. Chúc các bạn thành công!
Theo thehackernews