พบช่องโหว่ XSS บน Magento เว็บค้าออนไลน์เสี่ยงถูกไฮแจ็ค

สัปดาห์ที่ผ่านมา Magento ได้ออกแพทช์ชุดใหญ่สำหรับอุดช่องโหว่แพลทฟอร์ม E-commerce ของตน ซึ่งหนึ่งในนั้นเป็นช่องโหว่ Cross-site Scripting (XSS) ความรุนแรงสูงที่ช่วยให้แฮ็คเกอร์สามารถโจมตีเพื่อเข้าควบคุมเว็บไซต์ได้ แนะนำให้ผู้ดูแลระบบรีบอุดช่องโหว่โดยเร็ว

ช่องโหว่ XSS นี้เกิดจากการตรวจสอบ Input จากผู้ใช้งานไม่ดีพอ ส่งผลให้แฮ็คเกอร์สามารถแทรกโค้ด JavaScript ลงไปในช่องใส่อีเมลบนหน้าสมัครลงทะเบียนของลูกค้าได้ จากการตรวจสอบพบว่าเป็นบั๊คบน Library หลักของ Magento ในส่วน Backend ของผู้ดูแลระบบ ส่งผลให้ JavaScript ดังกล่าวจะถูก Execute ด้วยสิทธิ์ของ Admin ในส่วนของ Backend ซึ่งเสี่ยงต่อการถูกไฮแจ็คเว็บไซต์ทั้งหมดได้

เวอร์ชันที่ได้รับผลกระทบประกอบด้วย Magent CE เวอร์ชันก่อน 1.9.2.3 และ Magento EE เวอร์ชันก่อน 1.14.2.3 ซึ่งแนะนำให้ผู้ดูแลระบบรีบอัพเดทแพทช์โดยเร็ว เนื่องจากการป้องกันช่องโหว่นี้ด้วยตนเองทำได้ค่อนข้างยาก เว้นแต่จะมี Web Application Firewall เข้ามาช่วย

นอกจากช่องโหว่ XSS ที่ช่วยให้แฮ็คเกอร์เข้าควบคุมเว็บไซต์ได้แล้ว ยังมีอีกช่องโหว่ XSS หนึ่งที่เกิดจากการตรวจสอบช่อง Comment ไม่ดีพอ ส่งผลให้สามารถแทรกโค้ด JavaScript เข้ามายังฐานข้อมูลได้ เมื่อ Admin เรียกดูข้อมูลดังกล่าว โค้ด JavaScript ก็จะถูกรันที่ฝั่งเซิฟเวอร์ทันที ช่องโหว่นี้ส่งผลกระทบต่อ Magento ทุกเวอร์ชันที่ได้กล่าวไปก่อนหน้านี้ รวมถึง Magento 2 CE และ EE เวอร์ชันก่อน 2.0.1

ที่มา: http://www.net-security.org/secworld.php?id=19365