Magento의 치명적인 제로데이 취약점인 CVE-2022-24086, 실제 공격에 활발히 악용돼

Critical Magento zero-day flaw CVE-2022-24086 actively exploited

 

Adobe가 CVE-2022-24086으로 등록된 치명적인 보안 취약점을 패치하기 위한 업데이트를 공개했습니다. 해당 취약점은 실제 공격에서 활발히 악용되고 있으며, Commerce 및 Magento 오픈소스 제품에 영향을 미칩니다.

 

Adobe는 권고를 발행해 아래와 같이 밝혔습니다.

 

"Adobe는 CVE-2022-24086 취약점이 Adobe Commerce 판매자를 노린 매우 제한된 공격에서 악용되었다는 사실을 인지하고 있습니다."

 

이 취약점은 취약한 시스템에서 임의의 코드를 실행하기 위해 관리자 권한을 가진 공격자가 악용할 수 있는 "부적절한 입력 유효성 검사" 취약점입니다.

 

CVE-2022-24086은 CVSS 점수 10점 만점에 9.8점을 받았으며, 사전 인증 문제로 분류되어 크리덴셜 없이도 악용될 수 있습니다.

 

해당 취약점은 아래 버전의 제품에 영향을 미칩니다.

 

제품	버전	플랫폼
Adobe Commerce	2.4.3-p1 및 이전 버전	전체
Adobe Commerce	2.3.7-p2 및 이전 버전	전체
Magento Open Source	2.4.3-p1 및 이전 버전	전체
Magento Open Source	2.3.7-p2 및 이전 버전	전체

 

Adobe Commerce 2.3.3 이하 버전은 이 취약점의 영향을 받지 않습니다.

 

지난 주 사이버 보안 회사인 Sansec의 연구원들이 Magento 1 전자 상거래 플랫폼을 사용하는 온라인 상점 500곳 이상을 해킹한 대규모 Magecart 캠페인을 발견했습니다.

 

이 캠페인을 실행한 공격자는 naturalfreshmall(.)com 도메인에서 로드되는 디지털 스키머를 배포했습니다.

 

<이미지 출처: https://twitter.com/sansecio/status/1486000220647444491>

 

 

이 공격의 흥미로운 점은 SQL 인젝션과 PHP 개체 인젝션을 결합하여 Magento 저장소에 대한 제어 권한을 얻는다는 것입니다.

 

전문가들은 Magento 1 플랫폼의 지원이 종료되었기 때문에 더 이상 보안 업데이트를 받지 못할 것이라고 지적했습니다.

 

 

<이미지 출처: https://twitter.com/sansecio/status/1493148973468684289>

 

 

 

 

출처:

https://securityaffairs.co/wordpress/127999/hacking/cve-2022-24086-zero-day.html

https://helpx.adobe.com/security/products/magento/apsb22-12.html