A Check Point, o maior fabricante mundial especializado em segurança, anuncia que o seu Grupo de Investigação de Vulnerabilidades e Malware descobriu recentemente uma vulnerabilidade crítica do tipo RCE (Remote Code Execution ou execução remota de código) na plataforma web de ecommerce da eBay Magento, que afecta cerca de duzentas mil lojas online.
No caso de ser explorada, esta vulnerabilidade comprometeria plenamente qualquer loja online baseada na plataforma Magento, incluindo informação de cartões de crédito e outros dados financeiros ou pessoais dos seus clientes. A vulnerabilidade permite a qualquer atacante eludir todos os mecanismos de segurança e obter o controlo sobre a loja e toda a sua base de dados, o que permite o roubo de cartões de crédito ou qualquer outro acesso administrativo ao sistema.
“À medida que as compras online ganham terreno ao comércio tradicional, os sites de comércio electrónico tornam-se num alvo primordial para os cibercriminosos, já que sabem que são uma mina de ouro em termos de informação sobre cartões de crédito”, destaca Shahar Tal, responsável do Grupo de Investigação de Vulnerabilidade e Malware da Check Point. “A vulnerabilidade descoberta representa uma ameaça significativa não só para uma loja, como para todas as marcas retalhistas que utilizam a plataforma Magento para as suas lojas online, o que representa cerca de 30% do mercado de comércio electrónico”.
A Check Point divulgou de forma privada junto da eBay estas vulnerabilidades em conjunto com uma lista de recomendações para as corrigir antes do seu anuncio público. Um patch corrigir as mesmas foi lançado no passado dia 9 de Fevereiro de 2015 (SUPEE-5344 disponível aqui). Recomenda-se aos proprietários ou administradores de lojas online a aplicação desta correcção de forma imediata.
Os clientes da Check Point já estão protegidos das tentativas de exploração desta vulnerabilidade através do Software Blade IPS. Para obter mais informação, por favor visite o blogue da Check Point.
