Falha crítica no ‘OXID eShop’ deixa expostos a ataques informáticos diversos websites eCommerce.

Depois da descoberta de uma falha crítica na plataforma OXID eShop torna-se imperativo atualizar a plataforma imediatamente de forma a impedir que o website seja comprometido em ataques bem sucedidos.

Investigadores descobriram um par de vulnerabilidades críticas na plataforma OXID eShop que podem permitir que atacantes, não autenticados, assumam total controle dos  websites e-commerce vulneráveis remotamente em menos de alguns segundos.

OXID eShop é uma das principais soluções de software para lojas de comércio eletrónico na Alemanha, cuja edição corporativa está a ser utilizada por líderes do setor, incluindo Mercedes, BitBurger e Edeka.

Investigadores da RIPS Technologies GmbH partilharam as mais recentes descobertas com o The Hacker News. Foram, então, endereçadas duas vulnerabilidades críticas de segurança que afetam as versões recentes Enterprise, Professional e Community Editions do software OXID eShop.

Deve notar-se que nenhuma interação entre o atacante e a vítima é necessária para executar ambas as vulnerabilidades, e as falhas funcionam para a configuração padrão do software de e-commerce – o que torna as vulnerabilidade de alto impacto.

A primeira vulnerabilidade, CVE-2019-13026, é uma vulnerabilidade de injeção SQL que permite que um atacante não autenticado crie uma nova conta de administrador, com uma palavra-passe à sua escolha, em um website executando qualquer versão vulnerável do software OXID eShop.

“An unauthenticated SQL injection can be exploited when viewing the details of a product. Since the underlying database makes use of the PDO database driver, stacked queries can be used to INSERT data into the database. In our exploit we abuse this to INSERT a new admin user,” researchers told The Hacker News.

 

Embora o sistema de base de dados PDO tenha sido projetado para impedir ataques de injeção de SQL utilizando por defeito prepared statements, ao utilizar comandos SQL de construção dinâmica poderia deixar as consultas em pilha com maior risco de serem contaminadas (mais detalhes aqui).

A segunda vulnerabilidade é uma falha de injeção num Objecto PHP, e que reside no painel de administração do software OXID eShop e ocorre quando a entrada fornecida pelo utilizador não é adequadamente limpa (sanitizada) antes de ser passada para a função PHP unserialize ().

Essa vulnerabilidade pode ser explorada para obter execução remota de código (RCE) no servidor; no entanto, requer acesso de administrador e que pode ser obtido utilizando a primeira vulnerabilidade (CVE-2019-13026).

“A second vulnerability can then be chained to gain remote code execution on the server. We have a fully working Python2.7 exploit which can compromise the OXID eShops directly which requires only the URL as an argument,” researchers told The Hacker News.

 

Utilizando esta chain de vulnerabilidade encadeadas, qualquer atacante pode tomar total controlo do website vulnerável apenas explorando a chain de vulnerabilidades de forma sequencial.

 

Uma vez bem-sucedidos, os atacantes podem executar remotamente código malicioso no servidor ou instalar plug-ins maliciosos para roubar cartões de crédito, informações de conta do PayPal e informações financeiras altamente confidenciais que passam pelo sistema eShop.

Os investigadores do RIPS reportaram as descobertas ao OXID eShops, e a empresa reconheceu o problema e resolveu as falhas com o lançamento do OXID eShop v6.0.5 e 6.1.4 para as três edições.

Parece que a empresa não corrigiu a segunda vulnerabilidade, simplesmente a mitigou, resolvendo o primeiro problema. No entanto, é preciso notar que ainda é possível explorar a segunda falha de RCE através de uma conta de administração.