本記事は2022年2月17日に@developersteveが公開した英語ブログCVE-2022-24086 Vulnerability alert for websites using Magento Ecommerceを日本語化した内容です。
なお、この脆弱性にはさらに新しい情報が出てきておりますので、近日中に最新情報をブログにて公開します。最新情報を常にチェックして安全で迅速な開発生活をお楽しみください。
はじめに
Magentoは、2008年の最初のリリース以来、多くの人々に利用され、愛されているeコマース・プラットフォームです。私が Magento を愛してやまない理由のひとつは、eコマースビジネスの成長に合わせて拡張できることです。セルフホスティング版としてスタートしたMagento(私は長年にわたって開発者としてこれを多用してきました)は、現在ではAdobeやサードパーティのエコシステムパートナーを通じて、しっかりとしたサポートと管理オプションが利用できるようになっています。
Wappalyzerによると、現在158,000のウェブサイトがMagentoを利用してeコマース・ソリューションを提供しています。コカ・コーラやオリンパスなどのグローバルブランドや、ランドローバーなどの代表的な自動車メーカーが、オンラインショッピングを容易にするためにMagentoを使用しています。
OSL (Open Software License) 3.0 ライセンスの下で配布され、現在バージョン 2.0 の SDLC にある Magento には、主に 2 種類の提供形態があります。
- Magento Open Sourceは、以前はCE(Community Edition)として知られていました。このバージョンはAdobeとMagentoによってバックアップされていますが、コミュニティとMagentoのエコシステムによって大きくサポートされています。
- Magento Enterpriseは、現在Adobe Commerceと呼ばれています。これはAdobeが管理する製品で、さまざまなレベルのAdobeのサポートと管理が含まれています。
Magentoは、新しい脆弱性が発見された場合、セキュリティ警告、パッチ、修正に非常に積極的に取り組み、長年にわたって脆弱性に対処してきました。2月14日、不適切な入力の検証のために重大なCVE-2022-24086が明らかになり、Magento Open SourceとAdobe Commerceの2.3.4以上2.4.3-p1未満または2.3.7-p2未満のバージョンに影響を及ぼしました。
Magentoの脆弱性「CVE-2022-24086」を理解する
この脆弱性は、チェックアウトプロセスにおける不適切な検証方法によってもたらされ、攻撃者は、不要な入力タイプをサニタイズするために通常使用される入力検証方法を回避することが可能です。
CVE-2022-24086による攻撃ベクトルは、Magento内でのSQLおよびPHPオブジェクトインジェクション攻撃能力を可能にし、不要なデータベースエントリーを追加したり、リモートコード実行を可能にしたりします。
アプリケーションセキュリティにおいて、不適切な入力の検証が深刻な結果をもたらすことはよくあることです。フォーム検証の際に、プラットフォームが複数の文字タイプの組み合わせを認識できないため、有害な文字列がそのまま大惨事になるのです。
PHPの不適切な検証を実際に試してみたい方は、Snyk-LabsのPHP-GoofアプリをGitHubでチェックしてみてください。
修正方法について
Magentoは、その周りに本当に強力なコミュニティとエコシステムが構築されているプラットフォーム/フレームワークの1つです。このような状況下で、コミュニティが一丸となって修正プログラムを展開するのを何度も目にしてきました。
Magentoが提供するパッチは、/Email/Model/Templateディレクトリにある transDirectiveパブリック関数内の Filter.php サニタイズメソッドを更新し、新しい正規表現のキャッチパターンを追加しています。
さらに、このパッチでは、コアフレームワークのVarDirective.phpファイルも同じ正規表現でキャッチするように修正されています。
Adobe公式パッチはPHP Composerのパッケージマニフェストに追加することもできますし、フォークされたコードベースに直接適用することもできます。パッチを適用する場合は、本番環境に移行する前にステージング環境や開発環境でテストすること、そして常に安全なバックアップをとっておくことを忘れないでください。
Snykを使用して自動的に問題を検出する
セキュリティは常に重要であり、特に機密性の高い顧客データや金融取引に関わる場合はなおさらです。Snyk は、Magento のインストール方法に応じて、Magento のスキャンを開始するための方法をいくつか提供しています。
最も推奨され、より広く採用されている方法は、PHP Composerを使用することです。これは、Magentoエコシステムのアドオンやプラグインが追加されたときに更新するのにも最適な方法です。PHP Composer のパッケージマニフェストをSnykで簡単にスキャンして、CVE-2022-24086のような進行中のライブラリや依存関係の脆弱性を検出することが可能です。
Magentoはgitリポジトリからクローンしたりフォークしたりすることもできます。これは、コントリビューションバック(常に推奨!)を考えている場合や、レポからのデプロイメントを必要とするデプロイメント方法を持っている場合に特に便利な機能です。
Snykはいくつかの異なるリポジトリプラットフォームに接続することができ、IAC脆弱性をスキャンする多くのCI/CDサービスに組み込むことも可能です。
スキャンサービスを使用すると、表示される可能性のある脆弱性を警告し、プラットフォーム、インフラ、および顧客を攻撃から保護するのに役立ちます。
最後に
ブログを読んで、Snykを使ってみたい!と思われた方は、ぜひ無料トライアルをお試しください。無料トライアルはこちら。トライアル中の技術的なご質問は、サポートまで日本語でお願いします。日本語で対応しています。
Snykでは、セキュアなコーディングのための情報や脆弱性の最新情報などを発信しています。ぜひフォローをお願いします。
またSnykではシニアデベロッパーアドボケイト(ソフトウェアエンジニア)の募集をしています。ちょっと話を聞いてみたい、という方はお気軽にご連絡ください。