Adobe hat eine kritische Sicherheitslücke bekannt gegeben, die Adobe Commerce und Magento Open Source betrifft. Adobe Commerce-Händler wurden angegriffen, und die Ausnutzung der Schwachstelle ist derzeit in vollem Gange.
Ein wichtiges Detail der von Adobe geteilten Schwachstelle ist, dass keine Authentifizierung erforderlich ist, um eine erfolgreiche Exploitation erfolgreich durchzuführen.
Das bedeutet, dass ein Angreifer kein Benutzer-Anmelderecht erwerben muss, um die Schwachstelle auszunutzen.
Das zweite Detail zu diesem Exploit, das Adobe mitteilte, ist, dass Administratorrechte nicht erforderlich sind, um diese Schwachstelle auszunutzen.
Sicherheitsbewertungen von Adobe
Adobe hat drei Bewertungsmetriken für Schwachstellen veröffentlicht:
- Common Vulnerability Scoring System (CVSS)
- Priorität
- Anfälligkeitsstufe
Common Vulnerability Scoring System (CVSS)
Das Common Vulnerability Scoring System (CVSS) ist ein offener Standard, der von einer gemeinnützigen Organisation (First.org) entwickelt wurde und auf einer Skala von 1 bis 10 basiert, um Schwachstellen zu bewerten.
Ein Wert von eins ist am wenigsten besorgniserregend und ein Wert von zehn ist der höchste Schweregrad einer Schwachstelle.
Der CVSS-Score für die Sicherheitslücke in Adobe Commerce und Magento beträgt 9,8.
Prioritätsstufe der Schwachstelle
Die Prioritätsmetrik hat drei Stufen, 1, 2 und 3. Stufe 1 ist die schwerwiegendste und Stufe drei die am wenigsten schwerwiegende.
Adobe hat die Prioritätsstufe dieses Exploits als 1 aufgeführt, was die höchste Stufe ist.
Die Prioritätsstufe Stufe 1 bedeutet, dass die Schwachstellen in Websites aktiv ausgenutzt werden.
Dies ist das Worst-Case-Szenario für Händler, da es bedeutet, dass ungepatchte Instanzen von Adobe Commerce und Magento anfällig für Hackerangriffe sind.
Adobes Definition von Prioritätsstufe 1 lautet:
„Dieses Update behebt Schwachstellen, die gezielt von Exploits in the wild für eine bestimmte Produktversion und Plattform angegriffen werden oder bei denen ein höheres Risiko besteht, dass sie angegriffen werden.
Adobe empfiehlt Administratoren, das Update so schnell wie möglich zu installieren. (z. B. innerhalb von 72 Stunden).“
Anfälligkeitsstufe
Die Sicherheitsstufen von Adobe werden als moderat, wichtig und kritisch bezeichnet, wobei kritisch die gefährlichste Stufe darstellt.
Die dem Adobe Commerce- und Magento-Open-Source-Exploit zugewiesene Schwachstellenstufe wird als kritisch eingestuft, was die gefährlichste Bewertungsstufe ist.
Adobes Definition der kritischen Bewertungsstufe lautet:
„Eine Schwachstelle, die, wenn sie ausgenutzt wird, die Ausführung von bösartigem nativem Code ermöglichen würde, möglicherweise ohne dass ein Benutzer dies bemerkt.“
Exploit zur Ausführung willkürlichen Codes
Was diese Schwachstelle besonders besorgniserregend macht, ist die Tatsache, dass Adobe zugegeben hat, dass es sich um eine Schwachstelle zur Ausführung von willkürlichem Code handelt.
Die Ausführung willkürlichen Codes bedeutet im Allgemeinen, dass die Art von Code, die von einem Angreifer ausgeführt werden kann, nicht im Umfang beschränkt ist, sondern im Wesentlichen jedem beliebigen Code offen steht, um nahezu jede gewünschte Aufgabe oder jeden gewünschten Befehl auszuführen.
Eine Schwachstelle bei der Ausführung willkürlichen Codes ist eine äußerst schwerwiegende Art von Angriff.
Welche Versionen sind betroffen
Adobe gab bekannt, dass ein Update-Patch veröffentlicht wurde, um die betroffenen Versionen seiner Software zu beheben.
In den Versionshinweisen des Updates heißt es:
„Die Patches wurden getestet, um das Problem für alle Versionen von 2.3.3-p1 bis 2.3.7-p2 und von 2.4.0 bis 2.4.3-p1 zu beheben.“
Die Hauptankündigung der Schwachstelle besagt, dass die Adobe Commerce-Versionen 2.3.3 und niedriger nicht betroffen sind.https://helpx.adobe.com/security/products/magento/apsb22-12.html
Adobe empfiehlt Benutzern der betroffenen Software, ihre Installationen unverzüglich zu aktualisieren.
Zitate
Lesen Sie das Adobe-Sicherheitsbulletin
Sicherheitsupdate verfügbar für Adobe Commerce | APSB22-12
Lesen Sie die Versionshinweise zu Adobe Commerce und Magento Open Source Patch
Sicherheitsupdates verfügbar für Adobe Commerce APSB22-12
Informationen zu Exploit-Schweregradbewertungen
Adobe-Schweregradbewertungen