Actualización de seguridad para Ecommerce Magento

Fallos de seguridad en Magento

Magento, una de las plataformas más extendidas a nivel mundial para tiendas Online, cuenta entre sus nuevas actualizaciones, con una nuevo parche de seguridad considerado como crítico, ya que soluciona más de 9 fallos que podrían en riesgo la seguridad de la tienda online.

El número de ataques debido a estos fallos de seguridad han crecido exponencialmente según podemos ver en la gráfica cedida por Gata Security Labs.

El parche conocido con la nomenclatura SUPEE-6788 soluciona los siguientes riesgos:

1. 1. Vulnerabilidad grave, los mensajes de logs del sistema de Magento durante el proceso de instalación pueden volcar información de la cadena de conexión con la base de datos, dejando contraseñas de MySQL en texto claro usable por nuestros atacantes.
2. 2. Vulnerabilidad grave, la funcionalidad de filtro de plantillas de correo electrónico permitiría que, mediante un ataque, podrían acceder a los emails de cambio de usuarios o notificaciones de contraseñas.
3. 3. Vulnerabilidad grave, un fallo en el framework de Magento "Zend Framework" podría permitir el acceso a los archivos "xml" de configuración.
4. 4. Vulnerabilidad grave, ataque por infección de SQL que podría permitir que extensiones externas al núcleo puedan realizar consultas directas a la base de datos extrayendo información de ventas o clientes.
5. 5. Vulnerabilidad grave, error en la ejecución de tareas programadas mediante "cron.php", un atacante que podría ejecutar un exploits colocado en el directorio de la tienda.
6. 6. Vulnerabilidad media, posibilidad de inyección de código malicioso en los campos personalizados, están en riegos aquellas tiendas online con uso de este tipo de campos. El fallo permitiría el acceso a ficheros de instalación del sistema.
7. 7. Vulnerabilidad media, Cross Site Scripting , error en el frontend de la tienda que permitiría la ejecución de código XSS.
8. 8. Vulnerabilidad media, ejecución de código usando informes de error y productos descargados de la tienda.
9. 9. Vulnerabidad baja, es posible detectar la url de administración que, posteriormente, un atacante podría usar para realizar un ataque de fuerza bruta mediante intentos de usuarios y contraseñas.
10. 10. Protección insuficiente en el restablecimiento de contraseñas. El token de generación de contraseñas no es deshabilitado, lo que podría permitir el robo de credenciales.
11. 11. Fallo en la carpeta "dev" de Magento, carece de un archivo htaccess que impida el acceso desde el navegador, es un directorio que debe ser protegido de exploración y buscadores.
12. 12. Cross Scripting, envenenamiento de caché. La información de pasarelas de pago y páginas de la tienda online eran almacenadas en cache, esto supone un riesgo ya que un ataque podría permitir el acceso a estos archivos que almacenan información de tarjetas de crédito y datos de usuario. Sin duda, esta es una de las vulnerabilidades más críticas y que deben solventarse de inmediato.

Magento propone una serie de prácticas de seguridad para mantener nuestra tienda online a salvo. Si se precisa de mantenimiento o de una actuación de expertos en Magento, puede contactar con digitalDot para planificar su proceso de actualización, así como un plan de contingencias para mantener a salvo tanto la tienda como los clientes que la usan.

Como pueden comprobar, los parches de esta actualización solo llegan hasta la versión de Magento 1.7, por lo que se recomienda si tiene una versión inferior, realizar un Upgrade completo de la versión hasta la 1.9.2.

Si lo desea, puede buscar todas las últimas versiones, así como parches de seguridad para su tienda online en:

https://www.magentocommerce.com/download

Este fallo no dicta que Magento se haya convertido en una plataforma Ecommerce no apta para tiendas Online, todo lo contrario, sigue siendo una gran apuesta. Las tendencias de esta Ecommerce van en aumento fuera de España, lo cual lo hace un gran competidor frete a Prestashop o Woocomerce.

Entre algunas de las ventajas que ofrece esta plataforma, se encuentran su experiencia en el sector, la cantidad de extensiones y de los que podremos dotar a nuestra tienda, su sistema de WebService para integrarlo con programas de facturación, ERP o sistemas de Logística de Almacén.

Otra gran ventaja, es su facilidad de desarrollo y su integración con su versión para la comunidad Multitienda.

Actualmente, se cifra que en todo el mundo se cuenta con unas 200.000 tiendas de las cuales un 30% se cifra en esta Ecommerce.

Volviendo al fallo de seguridad descubierto, recomendamos su actualización de inmediato, ya que existen kits de exploits como Nuclear, Angler y Neutrino, que están difundiéndose desde el 17 de Octubre.

Para cualquier duda o problema, no dude en contactar con el equipo de mantenimiento y soporte de digitalDot.

Gracias.