Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ SQL Injection ใน Magento ผู้ประสงค์ร้ายเข้าถึงฐานข้อมูลได้โดยไม่ต้องล็อกอิน รีบแพตช์ด่วน

วันที่ประกาศ: 31 มีนาคม 2562
ปรับปรุงล่าสุด: 31 มีนาคม 2562
เรื่อง: ระวังภัย ช่องโหว่ SQL Injection ใน Magento ผู้ประสงค์ร้ายเข้าถึงฐานข้อมูลได้โดยไม่ต้องล็อกอิน รีบแพตช์ด่วน

ประเภทภัยคุกคาม: Intrusions, Information Leak

Share on Facebook Share on Twitter Share on Google+

ข้อมูลทั่วไป

Magento เป็น CMS ที่ได้รับความนิยมในการทำเว็บไซต์ประเภท e-commerce โดยในประเทศไทยพบเว็บไซต์ไม่ต่ำกว่า 150 แห่งใช้งาน Magento เมื่อวันที่ 26 มีนาคม 2562 ทางผู้พัฒนา Magento ได้ออกอัปเดตแก้ไขช่องโหว่ร้ายแรงที่ส่งผลให้ผู้ไม่หวังดีสามารถโจมตีแบบ SQL injection มายังระบบฐานข้อมูลของเว็บไซต์ได้ โดยการโจมตีนี้ไม่จำเป็นต้องใช้สิทธิ์หรือการยืนยันตัวตนใดๆ [1]

ผลกระทบ

เว็บไซต์ที่ใช้งาน Magento เวอร์ชันที่มีช่องโหว่ อาจถูกเข้าถึง แก้ไข หรือเปิดเผยฐานข้อมูลโดยไม่ได้รับอนุญาต นอกจากนี้ผู้ไม่หวังดียังอาจสร้างความเสียหายอื่นๆ ให้กับระบบโดยอาศัยสิทธิ์ที่ระบบฐานข้อมูลสามารถทำได้ เช่น เปิดช่องทางให้ผู้ไม่หวังดีเชื่อมต่อเข้ามาควบคุมเครื่อง [2]

ระบบที่ได้รับผลกระทบ

Magento เวอร์ชันต่ำกว่า 2.1.17, 2.2.8 และ 2.3.1 [3]

ข้อแนะนำในการป้องกันและแก้ไข

ทาง Magento ได้ออกอัปเดตมาเพื่อแก้ไขปัญหานี้แล้ว โดยผู้ดูแลระบบสามารถดาวน์โหลดซอฟต์แวร์เวอร์ชันล่าสุดได้จากเว็บไซต์ [4]

อย่างไรก็ตาม เนื่องจากช่องโหว่ SQL injection นี้มีความร้ายแรงสูง และโค้ดสำหรับใช้โจมตีถูกเผยแพร่สู่สาธารณะแล้ว [5] แต่บางเว็บไซต์อาจยังไม่สามารถอัปเดตเวอร์ชันของ Magento ได้ ทางผู้พัฒนาได้มีแพตช์ PRODSECBUG-2198 มาเพื่อใช้สำหรับแก้ไขเฉพาะช่องโหว่นี้โดยยังไม่ต้องอัปเดต อย่างไรก็ตาม เนื่องจาก Magento เวอร์ชันล่าสุดได้ถูกแก้ไขช่องโหว่อื่นๆ อีกจำนวนหนึ่ง ทางผู้พัฒนาได้แนะนำให้ผู้ดูแลระบบวางแผนอัปเดตระบบให้เป็นเวอร์ชันล่าสุดโดยเร็ว

อ้างอิง

  1. https://arstechnica.com/information-technology/2019/03/severe-magento-bug-opens-300k-commerce-sites-to-card-skimming-attacks/
  2. https://www.csa.gov.sg/singcert/news/advisories-alerts/alert-on-critical-sql-injection-vulnerability-in-magento-software
  3. https://blog.sucuri.net/2019/03/sql-injection-in-magento-core.html
  4. https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update
  5. https://www.ambionics.io/blog/magento-sqli
Clear