Kritikus hiba, amelyet mindenki használ
A Sansec szerint az Adobe már szeptember 4-én figyelmeztette néhány ügyfelét, hogy szeptember 9-re vészfrissítést tervez. Addig a felhőalapú Adobe Commerce szolgáltatásban egy webes szűrő (WAF) próbál védelmet nyújtani. Egyelőre nem érkezett hír sikeres támadásról, ám az első gyorsjavítás múlt héten kiszivárgott, így a csalók előnyhöz juthatnak. A kutatók szerint a kihasználás sikere főként attól függ, hogy a webshop a munkamenet-adatokat a fájlrendszeren tárolja-e – márpedig az alapbeállítás általában ez szokott lenni.
A frissítés fájdalmas lehet, de elengedhetetlen
Az üzemeltetőknek azonnal javasolt letölteni és telepíteni a hibajavítást, mivel annak hiányában a rendszer könnyen támadhatóvá válik, ráadásul az utólagos javításban sem tud sokat segíteni az Adobe. A frissítés néhány Magento belső funkciót, illetve külső vagy egyedi kódokat is problémásan érinthet, főleg a REST API szerkezetének változásai miatt. A szakértők szerint nagy mennyiségű automatizált támadás várható – a SessionReaper könnyen felzárkózhat a korábbi, igen romboló Magento hibákhoz, amelyek lehetővé tették a munkamenet-hamisítást, a jogosultságemelést vagy a rosszindulatú kód futtatását is.
