Magento ถือเป็น platform eCommerce website ตัวหนึ่งซึ่งได้รับความนิยมมาก เนื่องด้วยความสบายในการใช้งานและการจัดการ ล่าสุดได้มีการเปิดเผยพบช่องโหว่ร้ายแรงในัวนที่ 13/04/2017 ที่ผ่านมา

บริษัท DefenseCode พบช่องโหว่ร้ายแรงทั้ง CSRF(Cross Site Request Forgery) ที่ทำให้เกิด RCE(Remote Code Execution) ได้ โดยเริ่มจากที่ในส่วนการ add Vimeo VDO เข้าไปใน product ที่มีอยู่แล้วหรือ product ใหม่ ซึ่งจะมีการรับ preview image จาก vimeo อีกที ซึ่ง URL จะเป็น

ซึ่งไม่ว่า url นั้นจะเป็นไฟล์ที่ถูกต้องหรือไม่ (เป็นภาพหรือไม่ก็ตาม) Magento ก็ยังจะ download ภาพนั้นไปอยู่ดี โดยไว้ที่ path

โดย X และ Y คือตัวอักษร 2 ตัวแรกของชื่อไฟล์ หาก hacker upload ไฟล์ที่เป็น shell ขึ้นไป + upload ไฟล์ .htaccess ขึ้นไปเพื่อกำหนดให้เกิดการรัน php ใน folder นั้นๆได้

ก็จะทำให้ hacker สามารถ upload php shell ได้ทันที

จากทั้งหมดนั่นหมายความว่า User ต้องมีสิทธิ์ในการ edit หรือการเพิ่ม VDO เข้าไปใน Product เมื่อ User ดังกล่าวเข้าใช้งาน URL ที่ Attacker สร้างขึ้น ก็จะกลายเป็นว่า User download ไฟล์ shell ให้ attacker ไปโดยปริยายนั่นเอง

ทางทีมงานของ DefenseCode ติดต่อไปยัง Magento ตั้งแต่ 11/18/2016 แต่จนกระทั่ง 13/04/2017 ก็ยังไม่มีการตอบกลับใดๆ ดังนั้นจึงมีการ public ช่องโหว่นี้ออกมาครับ

ระบบที่ได้รับผลกระทบ: Magento CE version 2.1.6 หรือตำ่กว่า
ผลกระทบ: CSRF และ RCE (Critical Severity)
วิธีการแก้ไข: ปรับเพิ่ม Token ในการ download preview VDO image, ปิดการอนุญาตใช้งาน .htaccess

Source:: PacketstormSecurity.net