
Magento | Foto: blugento.ro
Magento | Foto: blugento.ro
Cyberthreat.id – Kampanye serangan malware JavaScript Sniffers biasa menyerang situs-situs web toko daring (e-commerce) yang memakai sistem manajemen konten (CMS) berbasis Magento—perangkat lunak untuk sistem toko daring sumber terbuka (open-source) terpopuler.
Maka dari itu, kelompok peretas (hacker) yang biasa menyerang platform Magento dikenal dengan sebutan Magecart.
Untuk menangkal serangan siber, Selasa (28 Januari 2020), pengembang Magento memperbarui perangkat lunak e-commerce-nya untuk semua platform. Beberapa kerentanan yang diperbaiki termasuk berkategori kritis dan peretas dapat mengeksploitasinya dengan menjalankan kode arbitrer (eksekusi jarak jauh).
Kerentanan (bug) tersebut memengaruhi Magento Commerce versi 2.3.3/2.2.10 atau lebih lama, Open Source (2.3.3/2.2.10 atau lebih lama), Enterprise Edition (1.14.4.3 dan lebih lama), dan Community Edition (1.9.4.3 dan lebih lama). Rilis pembaruan keamanan untuk masing-masing sistem tersebut kini telah tersedia, tulis BleepingComputer, Selasa.
Berita Terkait:
Bug kritis
Pembaruan kali ini memperbaiki enam kerentanan, tiga di antaranya dinilai kritis; sisanya kategori penting.
Dua bug kritis yaitu deserialisasi data yang tidak dipercaya (CVE-2020-3716) dan bypass keamanan (CVE-2020-3718), keduanya mengarah pada eksekusi kode arbitrer.
Bug ketiga yang juga kritis adalah kategori SQL injection (CVE-2020-3719) yang dapat dieksploitasi untuk membocorkan informasi sensitif.
Sementara, tiga kerusakan lain memungkinkan peretas untuk mendapatkan informasi sensitif yang dapat berfungsi untuk melanjutkan serangan.
Magento 2.3.4 kini telah tersedia untuk diunduh dan bisa memperbaiki kerusakan pada aplikasi tersebut. Sejauh ini, menurut BleepingComputer, belum ada bukti eksploitasi terhadap kerentanan tersebut hingga saat ini.
Berita Terkait:
Serangan Magecart semakin merajalela belakangan ini. Ada beberapa kelompok penjahat dunia maya yang terlibat dalam kegiatan ini yang telah mencapai ratusan ribu toko.
Baru-baru ini, dengan bantuan dari Interpol dan perusahaan cybersecurity Group-IB, polisi Indonesia menangkap tiga tersangka peretas Magecart.[]
Share: