MAGENTO

Kritisk sårbarhet rammer mye brukt nettbutikk-system

Magento-sårbarheten blir allerede utnyttet i angrep. En sikkerhetsfiks er tilgjengelig.

Nettbutikker som benytter Magento-løsningen fra Adobe, bør snarest installere sikkerhetspatchen som nå er tilgjengelig.
Nettbutikker som benytter Magento-løsningen fra Adobe, bør snarest installere sikkerhetspatchen som nå er tilgjengelig. Illustrasjonsfoto: Colourbox
Harald BrombachHarald BrombachJournalist
15. feb. 2022 - 10:15

Adobe har kommet med en ny sikkerhetsfiks til den mye brukte nettbutikkløsningen Magento, som tilbys både i en gratis åpen kildekode-utgave og en kommersiell utgave. Begge utgaver er berørt av sårbarheten (CVE-2022-24086), som nå fjernes.

Utnyttelse av sårbarheten kan åpne for kjøring av vilkårlig kode. Det kreves ingen innlogging for å utføre angrep. Den er gitt hele 9,8 poeng på CVSS-skalaen, hvor 10,0 er det høyeste. Ifølge Adobe, som står bak Magento, har sårbarheten allerede blitt utnyttet i begrensede angrep mot nettbutikker.

Sårbarheten skal ha blitt innført med versjonen 2.3.3-p1. Den berører versjoner til og med 2.3.7-p2, i tillegg til versjonene 2.4.0 til 2.4.3-p1. 

Bruk av KI kan være en måte små og mellomstore bedrifter kan møte de stadig strengere kravene til cybersikkerhet på, skriver Thomas Aanestad Evensen, som er norgessjef i Fortinet.
Les også

Kunstig intelligens sikrer SMB-er mot cybertrusler

Utnyttelse av eldre versjoner

Den første versjonen av Magento ble lansert i 2008. I ettertid har løsningen blitt tatt i bruk av tusenvis av nettbutikker som enten drifter den selv eller leier Magento som en tjeneste av ulike tjenesteleverandører. 

Gjennom årene har Magento blitt berørt av mange sårbarheter, og det har kommet mange sikkerhetsoppdateringer. Dessverre har mange nettbutikker historisk vært trege med å installere oppdateringene. Mange bruker dessuten fortsatt versjon 1.x av programvaren. Den har ikke blitt støttet av Adobe siden sommeren 2020, men har blitt videreført som en åpen kildekode-prosjekt kalt OpenMage

Ifølge ZDNet har mer enn 500 nettbutikker som benytter Magento 1.x, nylig hatt sikkerhetsbrudd hvor det har blitt installert et skimmer-skript som stjeler betalingsinformasjon. 

Det er vanligvis mulig å se hvilken generasjon av Magento en nettbutikk bruker ved å taste inn følgende URL:

http://<domenenavn>/magento_version

Google har nå gjort Titan-sikkerhetsnøklene offisielt tilgjengelige for norske brukere.
Les også

Denne er laget spesifikt for passnøkkel-løsningen – nå kommer den til Norge

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.