Adobe Magento の深刻な脆弱性 CVE-2022-24086 が FIX:RCE の可能性

Emergency Magento update fixes zero-day bug exploited in attacks

2022/02/14 BleepingComputer — Adobe は、深刻な脆弱性 CVE-2022-24086 を修正し、Adobe Commerce と Magento Open Source に対して緊急アップデートを提供した。この脆弱性について、現時点では技術的な詳細は公表されていないが、この脆弱性を悪用する際に認証は必要されないと、Adobe は強調し、深刻度を示す CVSS 値は 9.8 だと評価している。

優先されるべきパッチ

Adobe Commerce もしくは Magento Open Source の Ver 2.4.3-p1/2.3.7-p2 以下を実行しているオンライン・ストアの管理者は、CVE-2022-24086 への対処を優先し、可能な限り早急にアップデートを適用することが強く推奨される。なお、Adobe Commerce 2.3.3 以下の Web サイトは、このセキュリティ脆弱性の影響を受けない。

日曜日に Adobe は、帯域外のセキュリティ情報を公開し、脅威アクターたちが CVE-2022-24086 を悪用していることを警告した。同社は、「Adobe Commerce の加盟店を標的とする、きわめて限定的な攻撃が行われている」と述べている。このバグの悪用に成功したハッカーは、脆弱なマシン上で認証なしに、リモートコードを実行できる。

MITRE の CVE (Common Vulnerabilities and Exposures) データベースに、1月27日に CVE-2022-24086 が登録され、追跡番号が付与されたときから、つまり2週間以上前から、この重大な欠陥について、Adobe は認識していた。

マルウェア/脆弱性を検出するサービスを、eコマース向けに提供する Sansec は、Magento 2.3/2.4 を使用している店舗は、Adobe から提供されるカスタムパッチを、直ちにインストールする必要があると強調している。

Sansec は、「Magento 2 の Ver 2.3.3〜2.3.7 を使用している店舗では、パッチの適用は数行の修正で済むため、手動で行うことが可能だ。また、Magento 2.3.3 以下を使用している場合には、この脆弱性は存在しない。ただし、提供されるパッチを手動で実施することを推奨する」と述べている。

CVE-2022-24086 の悪用について、その容易さ/難しさは不明だが、単純な作業ではないようだ。Sansec の Founder and Managing Director である Willem de Groot は BleepingComputer に対して、リモートコード実行の攻撃チェーンを、完全に再現できたという証拠は見たことがないと述べており、容易に悪用出来ないことを示していると述べている。

ただし、パッチの適用を怠ると、2015年に Check Point 発見した重大なバグ「Magento Shoplift」と同様の、深刻な結果を招く可能性があると警告している。
2015年4月のことだが、Magento Shoplift の技術的な詳細が公開される前から悪用が始まり、現在も 10万を超える Web サイトが、脆弱なバージョンの eコマース・プラットフォームを使用している状況にある。

2月9日に「マージカートの波が Magento 1 サイトを襲撃:500以上の eコマースに大量侵入」という記事をポストしましたが、そこには CVE に関する記載がなく、また、Magento 1 の Quickview プラグイン脆弱性が悪用されていると述べられていました。したがって、Magento 2 の CVE-2022-24086 とは関連しないと思われます。よろしければ、Magento で検索も、ご利用ください。

%d bloggers like this: