Vendors Actively Bypass Security Patch for Year-Old Magento Vulnerability
2023/01/18 SecurityWeek — Adobe Commerce/Magento ストアのメール・テンプレートに存在する、深刻な脆弱性 CVE-2022-24086 に対して、2022年2月に Adobe が公開したセキュリティ・パッチが、適用されていないケースが多いと、eコマース・セキュリティ企業である Sansec が警告している。この脆弱性 CVE-2022-24086 (CVSS: 9.8) は、チェックアウト・プロセスにおける不適切な入力検証のバグだと説明されている。このバグの悪用に成功した攻撃者に対して、任意のコード実行を許す可能性があり、また、パッチが提供されてから1週間ほどで、実環境での悪用も確認されている。
しかし、その後に、この修正パッチの回避が容易なことが判明し、Adobe から第2弾のパッチと新たな識別子 CVE-2022-24087 が発行されている。また、同時期に、この脆弱性狙った PoC エクスプロイトも公開されている。
この脆弱性に対処するために Adobe は、スマート・メール・テンプレートを削除し、古いメール・テンプレート変数リゾルバを刷新することで、潜在的なインジェクション攻撃に対処した。
しかし、この動きにより、多くのコマースサイトに混乱が生じた。その中には、元の機能に戻さざるを得なかったサイトもあり、最新のセキュリティ・パッチを適用したにもかかわらず、知らず知らずのうちに深刻な脆弱性にさらされるケースもあったと、Sansec は説明している。
新しいリゾルバ機能を上書きするケースや、古いバージョンの Magento からコードをコピーしてプリファレンスとして使用するケース、非推奨のリゾルバの機能を Magentoストアのプラダクションに再導入しようとするケースなどを、Sansec は観察している。
同社は、「このような危険な行動は、拡張機能ベンダーだけではなく、複数の代理店でも確認されていたが、新しい[リゾルバ]と互換性のあるメール・テンプレートへの更新を、回避するためと推測される」と付け加えている。
Sansec によると、一部のコマースストアでは、安全が確認されないユーザー入力に対する、基本的なフィルタリングを注文システムに追加することでリスクを軽減していたとのことだ。しかし、他のサブシステムから電子メールに触れると、この脆弱性が誘発されることを考えると、それにより悪用は防止できないことになる。
Magento に存在する、脆弱性 CVE-2022-24086 ですが、これまでに3回も登場しています。時系列に並べると、以下の通りとなります。また、2022/02/15 付で、CISA の KEV にも加えられています。
2022/02/14:脆弱性 CVE-2022-24086 が FIX:RCE の可能性
2022/09/22:脆弱性 CVE-2022-24086:大規模な攻撃が発生
2022/11/16:TrojanOrders 攻撃:未パッチ・サイトが標的
そして、今回の記事を見ると、Magento とユーザーとの間で、この脆弱性をめぐる混乱があったことが浮き彫りにされます。パッチの提供の仕方という意味で、いろいろと考えさせられる1件ですね。
IoT OT Security News 
You must be logged in to post a comment.