Actualizaciones de seguridad en MAGENTO

Magento es una tienda en línea propiedad de Adobe System, dónde desarrolladores tienen la posibilidad de comercializar software, exenciones, complementos y temas para el comercio electrónico, entre sus productos se encuentran:

• Servicios de atención al cliente,
• Pagos y seguridad,
• Marketing,
• Contabilidad y finanzas,
• Optimización del sitio web, etc.

Grandes compañías, como por ejemplo BURGER KING, HP, OSPREY LONDON, DEVLYN, utilizan soluciones que se encuentran en esta tienda en línea.

Para más información sobre Magento puede visitar el enlace: https://marketplace.magento.com/

¿Qué pasó?

• La tienda en línea de Magento lanzó un parche de seguridad para 37 vulnerabilidades, incluida una serie de fallas críticas en la plataforma de comercio electrónico que podrían haber permitido a los atacantes realizar una variedad de actividades no deseadas, como hacerse cargo de un sitio y crear nuevas cuentas de administrador, las versiones afectadas fueron: 2.3.1 y 2.3.2-p1, el más grave de los errores es una vulnerabilidad de ejecución remota de código (RCE por su siglas en inglés) que podría permitir a un usuario autenticado, con permisos limitados, crear boletines y plantillas de correo electrónico especialmente diseñados que se pueden utilizar para ejecutar código arbitrario en sistemas específicos.
• Además el 21 de noviembre de este año el equipo de seguridad de Adobe descubrió que han sufrido una violación de datos, la explotación de una vulnerabilidad que aún no fue revelada fue la causante de que un tercero no autorizado pueda hacerse con los datos de los clientes y desarrolladores, dentro de la información que se reveló se encuentran: los nombres de las personas, las direcciones de correo electrónico, los nombres de usuario conocidos también como MageID, así como direcciones de facturación, envío y números de teléfono.

Adobe no mencionó cuántos usuarios se vieron afectados, ni cuánto tiempo duró la violación de sus datos, sin embargo ha notificado a todos sus usuarios con un correo electrónico informando sobre dicho acontecimiento.

Aquí una copia del correo recibido por los usuarios:

La compañía asegura que los atacantes no lograron comprometer los productos principales de magento por lo que sigue siendo seguro la compra de los complementos y extensiones entre otros productos.

Recomendaciones:

• En el caso de que seas usuario de esta plataforma ya sea como cliente o desarrollador, es importante que mantengas tu tienda en línea de magento actualizada a la última versión disponible, los parches para cada versión se listan a continuación:
  • Para la versión 2.3.1: instale el parche MDVA-22979_EE_2.3.1_v1 y posteriormente actualice a la versión 2.3.3 o a 2.3.2-p2.
  • Para la versión 2.3.2: instala el parche MDVA-22979_EE_2.3.2_v1 y actualiza a la versión 2.3.3 o 2.3.2-p2
• Es aconsejable que cambies la contraseña de acceso lo más pronto posible. Teniendo en cuenta que una contraseña robusta cuenta de al menos 12 caracteres, incluyendo mayúsculas, minúsculas, símbolos especiales y números.

Referencias:

• https://latesthackingnews.com/2019/12/02/magento-marketplace-vulnerability-lead-to-security-breach/
• https://magento.com/blog/magento-news/magento-marketplace-security-update
• https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update