Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

ECプラットフォームの拡張機能が狙われている

EC Cubeについて12/1の記事で少しコメントを書きましたが、今度はMagentoのヘルプデスクの拡張機能が狙われたようです。

Magento(マジェント)はECサイト構築向けに開発されたオープンソースソフトウェアで、日本での利用はそう多くない様ですが、世界シェアNo1の利用実績を誇ります。 

 

securityaffairs.co

Megentoでよく使われる拡張ヘルプデスクのMirasvit Helpdeskに対してXSS攻撃を仕掛ける手法で、セキュリティ調査会社のWebShield社が2017年9月に発見した脆弱性が使われていたようです。”Mirasvit Helpdesk extension”のバージョン1.5.2までの全てのバージョンが影響を受ける様ですが、1.5.3修正版がリリースされているようですので、対策としては最新版アップデートが有効のようです。

f:id:foxcafelate:20180104181035p:plain

JVNDB(日本の脆弱性対策情報データベース)にはどうやらMegentoの情報はアップされないようですので、日本のユーザが脆弱性を確認するには開発ベンダーから情報を得るか、海外のサイトを見るしかないようです。(必然的に情報入手が遅くなると思いますので、その間に同じ手口で狙われるリスクは高くなります)

 

海外のサイトでは、例えば、以下のようなサイト(CVE Details)がありますが、

f:id:foxcafelate:20180106073041j:plain

(私の探し方が悪いのかも知れませんが)今回の拡張機能脆弱性情報は見つけられませんでした。

だとすると、ベンダー情報(今回の場合は、Mirasvit)を追いかけて判断するしか無かったかも知れません。そういった点では、EC Cubeの拡張機能を調べた時と同じ傾向があり、拡張機能を使っている人が脆弱性情報を入手するのが遅くなる、あるいは見落とした場合、ソフト本体の脆弱性に比べてパッチを当てるのが遅くなり、そこを狙われる懸念は、特に良く使われるECプラットフォームであればある程、大きくなりつつあります。

特にECサイト構築に利用される、オープンプラットフォームは狙われていると考えるべきかと思われます。見落とされやすい拡張機能も含めて、最新版リリース情報には特に注意した利用が求められているのかも知れません。

 

 

 参考:EC Cubeの脆弱性(後半部分)

foxsecurity.hatenablog.com

 

更新履歴

  • 2018年1月6日 AM(予約投稿)