이번 주에 Adobe는 Magento 플랫폼의 여러 심각도가 높은 취약점을 해결하여 수십만 개의 웹사이트를 임의 코드 실행 및 고객 목록 변조 공격에 취약하게 만들었습니다.
Magento는 250,000개 이상의 활성 전자 상거래 사이트를 지원하는 WordPress에 이어 두 번째로 인기 있는 콘텐츠 관리 시스템(CMS) 플랫폼으로 전체 온라인 상점의 약 12%를 차지합니다. 그리고 Magento.com에 따르면 Magento 기반 사이트는 매년 1,550억 달러 이상의 거래를 처리합니다.
Magento 취약점 발견 및 영향을 받는 Magento 버전
Adobe는 보안 게시판[ASPB20-59]에서 Magento Commerce 및 Magento 오픈 소스 플랫폼에 영향을 미친 총 9개의 취약점에 대한 패치를 발표했습니다. 이 9개의 취약점 중 8개는 치명적이거나 중요한 것으로 간주되며, 1개는 중간 정도의 Magento 취약점으로 간주됩니다.
Magento 플랫폼의 두 가지 치명적인 결함은 파일 업로드 허용 목록 우회(CVE-2020-24407) 및 SQL 주입(CVE-2020-24400)으로 추적되어 해커가 임의의 코드를 실행할 수 있고 읽기 또는 쓰기 액세스 권한을 부여할 수도 있습니다. 피해자 Magento 사이트의 데이터베이스에. 그러나 두 결함 모두 해커가 이미 관리자 권한을 획득해야 합니다.
반면, Stored XSS(CVE-2020-24408)는 악용될 경우 해커가 브라우저에서 JavaScript를 임의로 실행할 수 있도록 허용할 수 있으며 악용을 위한 사전 인증(예:관리자 권한)이 필요하지 않습니다.
Astra Security Magento Firewall을 사용하는 Magneto 사이트 위에서 언급한 모든 취약점 노출로부터 이미 안전합니다.
보안 게시판은 영향을 받는 Magento 플랫폼 버전 목록도 제공했습니다.
이러한 취약점으로부터 Magento 사이트를 보호하는 방법
웹사이트 또는 전자 상거래 상점이 오래된 Magento 버전에서 실행되는 경우 이러한 취약성으로부터 Magento 사이트/상점을 보호하기 위해 최신 버전으로 설치를 업데이트하는 것이 좋습니다. 다음은 각 Magento 제품의 업데이트/최신 버전 목록입니다.
또한 웹 사이트 또는 전자 상거래 상점에 웹 응용 프로그램 방화벽(WAF)을 설치하면 항상 도움이 될 수 있습니다. WAF는 사이트 파일, 플러그인, 확장 프로그램 및 테마의 잠재적인 취약점에 대한 보안을 제공할 수 있습니다.
Astra Security Magneto Firewall이 웹사이트에서 작동하는 방식
Astra Security WAF는 악성 트래픽과 잠재적 위협을 필터링하고 웹사이트/전자상거래 상점에 지능형 보호를 제공합니다. XSS, SQLi, CSRF, 불량 봇, OWASP 상위 10개 및 100개 이상의 기타 사이버 공격을 차단합니다. 이 지능형 방화벽은 웹사이트의 방문자 패턴을 감지하고 악의적인 의도를 가진 해커를 자동으로 차단합니다.