EC Cubeについて12/1の記事で少しコメントを書きましたが、今度はMagentoのヘルプデスクの拡張機能が狙われたようです。
Magento(マジェント)はECサイト構築向けに開発されたオープンソースソフトウェアで、日本での利用はそう多くない様ですが、世界シェアNo1の利用実績を誇ります。
securityaffairs.co
Megentoでよく使われる拡張ヘルプデスクのMirasvit Helpdeskに対してXSS攻撃を仕掛ける手法で、セキュリティ調査会社のWebShield社が2017年9月に発見した脆弱性が使われていたようです。”Mirasvit Helpdesk extension”のバージョン1.5.2までの全てのバージョンが影響を受ける様ですが、1.5.3修正版がリリースされているようですので、対策としては最新版アップデートが有効のようです。
JVNDB(日本の脆弱性対策情報データベース)にはどうやらMegentoの情報はアップされないようですので、日本のユーザが脆弱性を確認するには開発ベンダーから情報を得るか、海外のサイトを見るしかないようです。(必然的に情報入手が遅くなると思いますので、その間に同じ手口で狙われるリスクは高くなります)
海外のサイトでは、例えば、以下のようなサイト(CVE Details)がありますが、
(私の探し方が悪いのかも知れませんが)今回の拡張機能の脆弱性情報は見つけられませんでした。
だとすると、ベンダー情報(今回の場合は、Mirasvit)を追いかけて判断するしか無かったかも知れません。そういった点では、EC Cubeの拡張機能を調べた時と同じ傾向があり、拡張機能を使っている人が脆弱性情報を入手するのが遅くなる、あるいは見落とした場合、ソフト本体の脆弱性に比べてパッチを当てるのが遅くなり、そこを狙われる懸念は、特に良く使われるECプラットフォームであればある程、大きくなりつつあります。
特にECサイト構築に利用される、オープンプラットフォームは狙われていると考えるべきかと思われます。見落とされやすい拡張機能も含めて、最新版リリース情報には特に注意した利用が求められているのかも知れません。
参考:EC Cubeの脆弱性(後半部分)
foxsecurity.hatenablog.com
更新履歴