Các chuyên gia nghiên cứu đã cảnh báo nền tảng Magento được sử dụng hầu hết cho các website thương mại điện tử đang bị ảnh hưởng bởi một lỗ hổng rất nghiêm trọng. Lỗ hổng này có thể bị khai thác từ các website TMĐT nhằm chiếm đoạt các cửa hàng mua sắm trực tuyến.
Theo SecurityBox được biết có tới 250.000 những nhà kinh doanh đang sử dụng nền tảng Magento. Cụ thể, Lỗ hổng này đã được nhóm DenfenseCode tìm thấy và báo cáo vào tháng 11 năm ngoái và họ đã gửi nội dung tới Magento trong chương trình sửa lỗi bug bash trên Bugcrowd của công ty. Sau 1 thời gian DenfenseCode thông báo tới nhà phát hành Magento nhưng họ vẫn chưa giải quyết vấn đề này và nhóm đã quyết định để thông tin công khai.
Được biết, Sự tổn thương của Magento được liên kết với 1 tính năng cho phép người dùng thêm nội dung video Vimeo vào sản phẩm hiện có. Khi một video được thêm, Magento sẽ tự động lấy lại một hình ảnh xem trước qua lệnh truy vấn POST.
Như bạn biết đấy, phương pháp POST và GET cho phép tin tặc có thể tấn công qua CSRF và sau đó tải lên 1 tệp tùy ý. Mặc dù tệp hình ảnh không hợp lệ , tệp tin vẫn được lưu trên máy chủ trước khi nó được xác thực. Từ vị trí của tệp này, các hacker có thể tải lên 1 tập lệnh PHP chứa mã độc tới máy chủ, và nếu để tấn công từ xa, chúng phải dùng tệp .htaccess lên cùng một thư mục.
Để tấn công, hacker phải điều hướng người dùng truy cập vào bảng điều khiển của cửa hàng, sau đó dụ người dùng truy cập vào trang web đặc biệt gây ra các cuộc tấn công CSRF.
Các chuyên gia đã cảnh báo rằng, hacker có thể lợi dụng lỗ hổng này để tấn công, khai thác và kiểm soát toàn bộ hệ thống website thương mại điện tử. Vì thế, để bảo mật website e-commerce, bạn cần phải rà soát lại tất cả các lỗ hổng ngay. Hoặc bạn có thể liên hệ với Công ty bảo mật website SecurityBox để được hỗ trợ rà quét và bảo mật toàn diện.
Bài viết liên quan: Các Lỗ hổng bảo mật website thường gặp