AGGIORNAMENTO 17 febbraio: Aggiunto riferimento a CVE-2022-24087, che Adobe ha divulgato ed emette una patch fuori banda per il 17 febbraio 2022. FortiGuard Labs è a conoscenza di segnalazioni secondo cui Magento Open Source e Adobe Commerce sono attivamente presi di mira e sfruttato tramite CVE-2022-24086. Questa vulnerabilità può portare all’esecuzione di codice in modalità remota (RCE) su un server sfruttato, il che significa che un utente malintenzionato sarà in grado di eseguire comandi arbitrari in remoto. La vulnerabilità è classificata come Critica da Adobe e ha un punteggio CVSS di 9,8 su 10. Il 17 febbraio Adobe ha rilasciato una correzione di sicurezza fuori banda per CVE-2022-24087. Questa vulnerabilità può anche portare all’esecuzione di codice in modalità remota (RCE) su un server sfruttato, il che significa che un utente malintenzionato sarà in grado di eseguire comandi arbitrari in remoto. La vulnerabilità è classificata come Critica da Adobe e ha un punteggio CVSS di 9,8 su 10. Perché è significativo? Poiché Magento e Adobe Commerce sono piattaforme di e-commerce molto popolari in tutto il mondo, ciò può potenzialmente avere un impatto su un numero elevato di acquirenti online. Inoltre, la complessità dell’attacco necessaria per eseguire un attacco riuscito è stata considerata relativamente bassa/facile e non sono richiesti privilegi/permessi aggiuntivi per eseguire questo attacco. Un attacco riuscito può comportare la perdita totale di riservatezza, integrità e disponibilità delle informazioni e delle risorse archiviate nel server sfruttato.Inoltre, la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto CVE-2022-24086 alle vulnerabilità sfruttate note per Catalogo, che elenca le vulnerabilità che “sono un vettore di attacco frequente per gli attori informatici malintenzionati di tutti i tipi e rappresentano un rischio significativo per l’impresa federale”. Cosa sono CVE-2022-24086 e CVE-2022-24087? (aggiornato il 17 febbraio) Adobe classifica CVE-2022-24086 e CVE-2022-24087 come una vulnerabilità che deriva dalla “convalida dell’input impropria”. Senza disinfettare adeguatamente l’input di un utente, l’input può essere modificato in modo che esegua comandi arbitrari sul server sfruttato. Quali versioni di Adobe Commerce e Magento sono soggette a CVE-2022-24086 e CVE-2022-24087? (aggiornato il 17 febbraio) Le vulnerabilità esistono per Adobe Commerce 2.4.3-p1 e versioni precedenti, nonché 2.3.7-p2 e versioni precedenti. Per Adobe Commerce 2.3.3 e versioni precedenti, queste vulnerabilità non esistono. Le vulnerabilità esistono sia per Adobe Commerce che per Magento Open Source versioni da 2.3.3-p1 a 2.3.7-p2 e da 2.4.0 a 2.4.3-p1.Le vulnerabilità sono sfruttate in natura?FortiGuard Labs è stato informato Exploit utilizzati in natura per CVE-2022-24086 Il venditore ha rilasciato una correzione?Sì. Adobe ha rilasciato patch per tutte le versioni dalla 2.3.3-p1 alla 2.3.7-p2 e dalla 2.4.0 alla 2.4.3-p1. Per essere completamente protetti, l’avviso Adobe afferma che devono essere applicate due patch: patch MDVA-43395 prima, e poi MDVA-43443 sopra. Qual è lo stato della copertura? (aggiornato il 17 febbraio) Il codice Proof-of-Concept (POC) non è disponibile per CVE-2022-24086 e CVE-2022-24087 al momento della stesura di questo documento e, pertanto, non è disponibile alcuna copertura. FortiGuard Labs è attivamente alla ricerca di ulteriori informazioni e aggiornerà questo segnale di minaccia quando la protezione sarà disponibile.
