cancel
Showing results for 
Search instead for 
Did you mean: 

Informações sobre Exploit Shoplift SUPE 5344

Informações sobre Exploit Shoplift SUPE 5344

Algumas informações sobre a importância de aplicar o patch SUPE 5344, pois tenho notado que muitos não estão dando a devida atenção nesta correção por não entender o que realmente está em jogo.

 

Fato 1: Muitos lojistas nem se dão mais ao trabalho de ler as mensagens exibidas no painel de controle do Magento,  um sinal de que se torna necessário distinguir as notificações críticas, daquelas  propagandas de módulos, Magento Imagine, etc etc... 

Reforçado ainda pelo fato de preferirmos desativar Mage_AdminNotification para sumir  de vez com essas notificações e muitas vezes perdemos as  notificações que realmente são necessárias (como a desta notificação crítica).

 

Bom... vamos ao que realmente importa:

 

O que é o Magento Shoplift?

 

Shoplift é um bug no Magento que permite que hackers adquiram total controle da loja. 

Foi descoberta pela Check Point e o patch para a correção dessa vulnerabilidade foi liberado sob a identificação SUPE-5344. 

 

Como parte do processo de encontrar a vulnerabilidade, indicar, propor correções para o Ebay, divulgar o resultado para análise, aprimoramentos e estudos, a Chek Point (assim como a maioria de Pesquisadores de Segurança) liberou no dia 20/04/2015 o estudo/relatório contendo as descobertas da vulnerabilidade.

 

Você pode ver a análise pública aqui: http://blog.checkpoint.com/2015/04/20/analyzing-magento-vulnerability/

 

OBS: A Check Point notificou o eBay e o patch para corrigir a falha foi liberado no dia 9/02/2015. portanto foram mais de 2 meses para que os lojistas, agências realizassem a correção em suas lojas. 

E frente a liberação do estudo, o eBay notificou os lojistas por meio do sistema de notificação presente no painel de controle do Magento dias antes. (Por isso a importãncia de ter um meio diferenciado para esse tipo de notificação, pois muitos possuem essas notificações desativadas ou nem chegam a ler a popup imaginando ser mais uma propaganda)

 

Você deve se preocupar?

 

Sim, se a sua loja ainda está vulnerável, a minha recomendação é que você dê total prioridade neste assunto e aplique o patch imediatamente.

 

Agora me sinto apresentandor de jornal sensacionalista, mas estou prevendo um caos se os patch não for aplicado, veja porque:

Em menos de 24 horas após tornado público o estudo da Check Point, já foram identificados os primeiros ataques aproveitando-se dessa vulnerabilidade.

 

Para saber mais sobre os ataques, veja este post da Sucuri: 

https://blog.sucuri.net/2015/04/magento-shoplift-supee-5344-exploits-in-the-wild.html

 

Como visto nesse post, temos que o ataque consiste em criar novos usuários administrativos na loja, portanto se você encontrar novos usuários em sua loja. (nos exemplos citados pela Sucuri, os usuários que estão sendo criados são vpwq ou defaultmanager)

 

Como saber se a sua loja está vulnerável?

 

Utilize esta ferramenta para saber se a sua loja está vulnerável: https://shoplift.byte.nl/ 

 

O que fazer se a sua loja está vulnerável?

 

Você encontra aqui o Patch e instruções (aproveite para aplicar os outros patches que sejam necessários para a sua versão do Magento): https://www.magentocommerce.com/products/downloads/magento/

 

Se não se sentir confortável para realizar este tipo de procedimento, consulte a sua agência ou desenvolvedor para aplicar os Patches que sejam necessários em sua versão do Magento.

Nestor González | Desenvolvimento e Suporte Magento
www.nestorgonzalez.com.br
1 REPLY

Re: Informações sobre Exploit Shoplift SUPE 5344

Existem tutoriais sobre o procedimento de atualização de lojas, mais detalhados, que possam ser indicados nesses casos?

 

Em razão dos procedimentos para acesso SSH e execução dos comandos um passo a passo mais detalhado seria interessante de deixar disponível, analisei vários sites sobre as recomendações e muitos divergem sobre a maneira de executar o processo da melhor forma.

 

Estou executando nesse momento a atualização através de SSH. 

 

Obrigado.