Aynı adı taşıyan çevrimiçi mağaza yazılımını geliştiren Gambio şirketi, geçen hafta sonlarında güvenlik güncellemelerini yayınladı. Gambio, mağaza sahiplerinin güncellemeleri uygulamasını şiddetle tavsiye eder. Bulutta barındırılan mağazaların yanı sıra yerel kurulumların da güvenliği ihlal edildi.
Duyurudan sonra devamını okuyun
Bu, Gambio'daki bir forum girişinde bulunabilir. Sonuç olarak, Gambio'nun 4.0 ila 4.9 ve sonraki sürümleri için 2026-03 v1.1 güvenlik güncellemesi bulunmaktadır. Toplamda üç sürüm dalı vardır ve bunların her biri kendi güncelleme paketini alır: Gambio için sürüm 4.0'dan 4.6'ya, Gambio için sürüm 4.7'den v4.8'e ve Gambio için sürüm 4.9 ve üzeri. Gambio'nun eski sürümlerini kullanan herkes en son sürümlere geçmelidir. Üreticiye göre bulut versiyonları zaten güncellendi. Güvenlik güncellemesinin 1.0 sürümü olan erken bir yama, görünüşe göre uygulandığı mağazalarda sorunlara neden oldu. Gambio daha sonra güvenlik açığını başka belirtiler olmadan düzeltmesi gereken 1.1 sürümünü sundu.
Güncelleme güncellemesi görünüşe göre bazı mağaza operatörleri arasında kafa karışıklığına neden oldu, ancak Gambio forumundaki ilk gönderi artık durumu doğru bir şekilde özetliyor ve ayrıca v1.0 yamasının mağaza sisteminde kesintilere neden olması durumunda bir çözüm sağlıyor.
Görünüşe göre Gambio mağazalarına başarılı saldırılar
Başlangıçta herkese açık olarak değil, yalnızca müşterilere e-posta göndererek Gambio, güvenlik açıklarına yönelik gözlemlenen saldırıları kabul etti. Görünüşe göre kötü niyetli aktörler sisteme bir dosya yükleyip onu tehlikeye atıyorlar. Bu, o zamandan beri silinen bir forum gönderisi tarafından önerildi. Diğer forumlar yanıt verdiğinden metnin bazı kısımlarını hâlâ görebilirsiniz. Bu, Gambio'nun başarılı saldırıların somut göstergelerini bildiğini gösteriyor (Uzlaşma Göstergeleri, IOC). Diğer gönderilere göre saldırganlar “Tema” klasöründe yeni bir alt klasör oluşturuyor; bir noktada internetten yapılan tarama “gx_se_cache” adlı bir klasöre yazıyor.
Başarılı saldırılara ilişkin burada bulunabilecek diğer ipuçları, “Tema” klasöründeki “admin” veya “include” gibi mağaza klasörlerinin kopyalarına işaret etmektedir. Ayrıca “upload/tmp” dosyasında “cache.php” adında bir dosya içeren ve oraya ait olmayan başka klasörler de vardır.
Belirli zayıf noktaların belirtileri
Alınan bilgilere göre Gambio mağazasının sistemlerinde güvenlik güncellemesi 2026-03 v1.1'e kadar üç güvenlik açığı meydana geldi. Örneğin, müşteriler mağazada bir ürünü seçtikten sonra iletilen veriler uygun şekilde filtrelenmediğinden, önceden oturum açmaya gerek kalmadan SQL enjeksiyonu mümkün oldu. Ayrıca, sistem fiyatları dinamik olarak hesaplamak için bazı filtrelenmemiş parametreler kullandığından, bir güvenlik açığı en azından hizmet reddi saldırılarına izin verir. Ek olarak, tasarım yüzeyinde (StyleEdit) kullanıcı kimlik doğrulaması için güvenlik anahtarlarının oluşturulması, mağazanın kurulduğu zamana bağlı olduğundan öngörülebilir olacaktır. Ancak bu teorik bir sorun: aradaki fark muhtemelen şu anda gerçekleşen saldırılarla alakalı değil.
Duyurudan sonra devamını okuyun
160 bulut mağazası saldırıya uğradı
Gambio'nun web sitesindeki ayrı bir sayfada, saldırılar ve güvenlik açıkları hakkında bazı ayrıntılar açıklanıyor ve mağaza operatörleri için sık sorulan soruların bağlantıları açıklanıyor. Ancak şirket yalnızca müşteri e-postalarında bulunabilen IOC'lere atıfta bulunuyor. Ancak Gambio, güvenliği artırmak için ek bilgiler açıkladı. Bu verilere göre Gambio bulutundaki 160 civarında online mağaza saldırıya uğradı. Üretici, etkilenen mağazaların operatörleriyle doğrudan iletişime geçti. Gambio, saldırıya uğrayan yerel tesislerin sayısı hakkında bilgi vermiyor.
İstismar edilen güvenlik açığı, saldırganların önceden kimlik doğrulaması yapmadan kötüye kullanabileceği bir SQL enjeksiyon güvenlik açığıdır. Bilinen durumlarda saldırganlar iletişim bilgilerini, sipariş geçmişini ve şifre karmalarını içeren müşteri veritabanlarını okur. Özellikle şifreler MD5 ile karma hale getirilmişse, bu nedenle ele geçirilmiş sayılmalıdır. Ancak Gambio, etkilenen mağazaların tüm müşterileri için şifre sıfırlamanın etkinleştirilmesini öneriyor. Ayrıca SSS'ye göre mağaza operatörleri, mağazaya başarılı bir saldırı gerçekleştirilmesi durumunda son müşterileri GDPR'nin 34. Maddesi uyarınca bilgilendirmekle yükümlüdür.
Gambio'ya göre kredi kartı numaraları, banka bilgileri ve ödeme hizmeti sağlayıcılarının erişim verileri okunmadı. SSS bölümünde Gambio, Gambio veritabanında hiçbir ödeme verisinin saklanmadığını, ancak ödemelerin yalnızca harici ödeme sağlayıcıları aracılığıyla işlendiğini belirtiyor.
Gambio mağaza operatörleri güncellemeleri hemen yüklemelidir. Daha spesifik IOC'leri içeren üretici e-postalarını spam klasörünüzde bulabilirsiniz. Henüz e-postayı görmemiş olan müşteriler oraya bakmalı ve e-postadaki ipuçlarına dayanarak başarılı saldırılar için sistemlerini incelemelidir.
Gambio internet mağazaları geçen yılın sonunda zaten saldırganlar tarafından hedef alınmıştı. Orada, Baden-Württemberg'de kaçırılan ve muhtemelen Gambio'ya dayanan “Fänshop” vakası ortaya çıktı.
(Bilmiyorum)
Bir yanıt yazın