Magento / Seguridad

Parches de seguridad para Magento, desde SUPEE-1533 a SUPEE-7405

Parche SUPEE-7405

Lanzado el 20 de Enero (SUPEE-7405 v1.0). Este parche es un paquete de parches que cierra varios problemas de seguridad que pueden derivar en robo de información de clientes o tomar control de sesiones dentro del administrador.

En Febrero se lanzó la segunda versión, SUPEE-7405 v1.1, que soporta PHP 5.3 y resuelve ciertos errores de la versión anterior. Si no has instalado la nueva versión deberías instalar previamente la primera si tu versión de Magento es menor a 1.9.2.3.

Magento 1.9.2.3 ya incluye SUPEE-7405 v1.0 y 1.9.2.4 ya incluye SUPEE-7405 v1.1

Parche SUPEE-6788

Notificado en Octubre de 2015. El parche SUPEE-6788 es un subconjunto de parches que resuelve más de 10 problemas de seguridad incluyendo ejecución de código remota y robo de información vulnerable. Aunque no hay noticias de ataques conocidos, Magento alerta de su peligro.

De los parches de seguridad lanzados hasta el momento este es el que más problemas puede darte por lo que es más recomendable todavía testearlo previamente en un entorno de desarrollo.

Esto es debido a que afecta a extensiones y personalización añadidas que hacen gran uso de variables personalizadas y rutas del admin (usan <use>admin</use>» en vez de  «<custom_module after=»Mage_Adminhtml»>CustomModule_Adminhtml</custom_module>). Sobre un 80% de  extensiones han sido detectadas que fallan despues de añadir el parche. Por lo tanto, es necesario actualizar todas estas extensiones que no funcionen, eliminar las que no se usen y pedir nuevas versions funionales a los desarrolladores de la extension.

Para que el parche tenga efecto 100% es necesario deshabilitar el enrutamiento seguro.  Esto se hace dentro del administrador en Sistema – Configuración – Administrador – Seguridad – Modo compatible con rutas de extensión.

La versión 1.9.2.2 incluye este parche por lo que también puedes realizar una actualización vía Downloader.

Puedes encontrar más info del parche en http://magento.com/security/patches/supee-6788 y https://magento.com/security/patches/supee-6788-technical-details

Parche SUPEE-6482

Notificado en Agosto de 2015, este parche es una medida preventiva ya que no se conoce ataque producido al respecto. Este parche de seguridad tapa ciertas vulnerabilidades para Magento Community. Éstas están relacionadas con el API de Magento, la inclusión de código arbitrario en el request y el escalado de privilegios en el caso de obtención de datos. Este problema solo afecta a servidores y configuración de PHP específicos pero es recomendable prevenirla.

También elimina cross-site-scripting al tapar la posibilidad de que los atacantes roben cooies para hacerse pasar por usuarios y engañar a otros hagan click en enlaces maliciosos.

Parche SUPEE-6285

Añadido en Julio de 2015, este paquete da protección contra varios tipos de inseguridades como ataques por inyeccion, identificaciones fraudulentas o cross-site scripting.

Principalmente previene que potenciales atacantes puedan acceder como administrador al último feed con los pedidos recientes, feed que contiene información personal que pueda ser usada fraudullentamente para obtener más información o para posterirores ataques. Tambien tapona una serie de agujeros de seguridad relacionados con cross-site scripting (XSS), cross-site request forgery (CSRF) o permisios ACL para extensiones de terceras partes.

Como decía uno de los principales problemas que soluciona es la inyección de código a través de la plantilla o la obtención de datos sin permiso. Por ello el parche modifica los siguientes archivos de la plantilla base de Magento:

  • app/ design/ frontend/ base/ default/ template/ checkout/ cart.phtml
  • app/ design/ frontend/ base/ default/ template/ checkout/ cart/ noItems.phtml
  • app/ design/ frontend/ base/ default/ template/ checkout/ onepage/failure.phtml
  • app/ design/ frontend/ base/ default/ template/ rss/ order/ details.phtml
  • app/ design/ frontend/ base/ default/ template/ wishlist/ email/ rss.phtml
  • app/ design/ frontend/ default/ modern/ template/ checkout/ cart.phtml

Después de aplicar el parche, es necesario revisar si algunos de los anteriores archivos está en nuestra plantilla personalizada. De estar, tendremos que comparar y pasar el código que ha modificado el parche a nuestra plantilla para que estemos protegidos.

A la hora de instalar este parches hay que estar seguros que está instalado el anterior, SUPEE-5994.

Notas:  la versión 1.9.2 incluye la última versión del parche por lo que no haría falta instalarlo. Si se ha instalado la primera versión de este parche para la versión 1.9.1.1 habrá que revertir el parche (v1) e instalar la nueva versión (v2).

Parche SUPEE-5994

Magento anunció en Mayo de 2015 un nuevo parche de seguridad para prevenir potenciales ataques recomendando su inmediata implementación.

Este parche, denominado SUPEE-5994, realmente es un paquete de 8 subparches que corrige varias funcionalidades del núcleo susceptibles de ser atacables y que han sido descubiertas por el programa de seguridad multi-punto.

¿Que problemas se han descubierto?

  • Los atacantes podrían descubrir la URL de login del panel de admon.
  • Posibilidad de obtener información de los usuarios a través de sus direcciones guardadas en la tienda.
  • Posibilidad de obtener información de los usuarios e información de pago nutriéndose de los recurring profiles.
  • A través de URL de imágenes ficticias se podrían generar excepciones que conllevan a errores internos del servidor.
  • Ejecución de Javascript a través del Magento Connect Manager que puede derivar en instalaciones de extensiones maliciosas.
  • Modificación, exportación de datos o ejecución de código remoto al exportar información a través de hojas de cálculo.
  • Ejecución de Javascript en el contexto de las sesiones de los usuarios para el robo de información.
  • Posibilidad de instalación de extensiones maliciosas.

En resumen, los atacantes pueden obtener acceso a la información de los clientes de la tienda de forma fraudulenta y ejecutar código malicioso.

Todas las versiones de Magento Community Edition están afectadas y es posible descargar el parche para las versiones 1.4.1- 1.9.1.1 desde la página oficial de Magento cuyo enlace viene al final del post.

Importante: Este parche debería ser instalado como complementación de los anteriores “shoplift patchs” denominados SUPEE-5344 y SUPEE-1533.

Parche SUPEE-5344

Esta vulnerabilidad sobre la ejecución remota de código (RCE) fue publicada por Check Point® (empresa dedicada a la seguridad en Internet) a finales de enero de 2015. La vulnerabilidad afecta tanto a Magento Enterprise Edition como Magento Community Edition y permite a los atacantes obtener, saltándose los mecanismos de seguridad, el control sobre una tienda y tener información a datos sensibles, incluyendo la información personal de los clientes, bases de datos, etc. También puede afectar a los números de tarjeta de crédito en el caso de que estuvieran almacenados en la plataforma, cosa que no suele ser habitual y no se recomienda a priori. Para prevenir estos problemas Magento emitió un parche para este problema el 9 de febrero de 2015 denominado SUPEE-5344.

Puedes comprobar la exposición de tu ecommerce usando este enlace  y añadiendo tu ruta para el admin.

Auditoría manual para saber si mi sitio ha sido asaltado:

  • Revisar las cuentas de administrador creadas dentro del panel e eliminar las sospechosas.

  • Comprobar si en la instalación de Magento hay archivos recientes desconocidos o sospechosos.

  • Chequear permisos ocultos y permisos de archivo incorrectos.

Si encuentra indicios de que su servidor/plataforma ha sido atacada póngase en contacto con su empresa de hosting.

Nota: Magento ha sacado la nueva version 1.9.1.1 que ya incluye este parche por defecto.

Parche SUPEE-1533

Repara dos potenciales vulneraciones por ejecucion de codigo remoto. Disponible desde el 3 de Octubre de 2014. Si el atacante tenía un acceso al administrador, las vulnerabilidades permiten:

  • Permitir a un atacante ejecutar código en el servidor.

  • Mediante un fichero  .csv  encapsulado se podían modificar los permisos de directorios ( por ejemplo 777).

Afecta a todas las versiones Magento Community Edition (CE) y Enterprise Edition (EE) así como a los sistemas operativos CentOS 5.x and 6.x y RedHat Enterprise Linux 5.x and 6.x

Todo responsable de tienda online basada en Magento o en cualquier CMS Open Source debería añadir los parches, o actualizar a la versión pertinente, que van saliendo así como estar pendiente de las novedades en este aspecto para estar lo más prevenido posible y no “dejar la puerta abierta” a intrusos.

Si usas sistema de cache PHP como APC/XCache/eAccelerator  regenérala después de parchear o reinicia el servidor web.

Puede descargar todos los parches en https://www.magentocommerce.com/products/downloads/magento/

Como instalar un parche en Magento Community http://devdocs.magento.com/guides/m1x/other/ht_install-patches.html

Si necesita ayuda para proteger su tienda puedes usar el formulario de contacto.

1 Estrella2 Estrellas3 Estrellas4 Estrellas5 Estrellas (Califica este artículo)
Cargando…

2 Comentarios Parches de seguridad para Magento, desde SUPEE-1533 a SUPEE-7405

  1. German

    Vale muy buen articulo, ahora bien, si he detectado que mi web ha sido hacheada? he visto usuarios nuevos en users que no corresponden. Que debo hacer para limpiarla?

  2. admin

    Deberías borrar esos usuarios, auditar tu servidor para ver si ha habido cambios de archivos o instalación de extensiones por parte de terceros de forma fraudulenta. Por último añadir los parches de seguridad correspondientes

Dejar un comentario

Clientes

¿Hablamos?

Una vez que has llegado aquí ¿tienes alguna duda? Déjame tus datos de contacto y te llamaré en el primer hueco que encuentre.

Contactar