AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### Vulnerabilidad crítica en el complemento Full Page Cache Warmer permite ejecución remota de código en servidores Magento

admin

#### Introducción

En el cada vez más complejo panorama de amenazas dirigido a plataformas de comercio electrónico, las extensiones de terceros continúan representando un vector de ataque significativo. Un reciente informe alerta sobre una vulnerabilidad crítica en el popular complemento Full Page Cache Warmer de Mirasvit para Magento, que está siendo explotada activamente para ejecutar código malicioso de forma remota en servidores vulnerables. Este incidente pone de manifiesto la necesidad de una gestión proactiva de la seguridad en entornos Magento y subraya el riesgo inherente de las extensiones no auditadas.

#### Contexto del Incidente o Vulnerabilidad

Magento, uno de los CMS más utilizados para comercio electrónico, depende en gran medida de extensiones desarrolladas por terceros para optimizar el rendimiento y la experiencia de usuario. Full Page Cache Warmer, desarrollado por Mirasvit, es una extensión que automatiza el precacheo de páginas para mejorar los tiempos de carga. Sin embargo, una vulnerabilidad crítica recientemente identificada en esta extensión ha permitido a atacantes comprometer la integridad de numerosos servidores Magento.

La vulnerabilidad reside en la forma en que la extensión gestiona la deserialización de objetos PHP. Al no implementar controles estrictos sobre los datos recibidos, el complemento permite la inyección de objetos PHP serializados desde fuentes no confiables, abriendo la puerta a la ejecución remota de código (RCE) sin necesidad de autenticación previa.

#### Detalles Técnicos

##### Identificación y CVE

La vulnerabilidad ha sido rastreada bajo el identificador **CVE-2024-31245** y afecta a versiones de Full Page Cache Warmer anteriores a la 1.3.10. El fallo se produce en el endpoint encargado de gestionar solicitudes para la reconstrucción de caché, el cual procesa peticiones HTTP sin una validación adecuada de los datos serializados.

##### Vectores de ataque

El vector de ataque principal consiste en el envío de una carga útil (payload) de objeto PHP serializado a través de una petición HTTP, generalmente POST, dirigida al endpoint vulnerable de la extensión. El proceso de deserialización, carente de validaciones o restricciones, permite la inserción de código arbitrario que se ejecuta con los permisos del usuario web del servidor.

##### Herramientas y TTPs

Se han observado campañas de explotación automatizada utilizando frameworks como **Metasploit** y herramientas personalizadas basadas en Python y Burp Suite para la generación y entrega de payloads. Los Tactics, Techniques, and Procedures (TTP) corresponden a las descritas en **MITRE ATT&CK T1190 (Exploit Public-Facing Application)** y **T1059 (Command and Scripting Interpreter)**.

##### IoC (Indicadores de Compromiso)

– Presencia de archivos no autorizados en directorios `/var/www/html/`.
– Tráfico HTTP POST anómalo hacia rutas `/miravit/cachewarmer/`.
– Entradas sospechosas en logs de acceso con objetos serializados en el cuerpo de la petición.
– Conexiones salientes a direcciones IP asociadas con botnets conocidas.

#### Impacto y Riesgos

La explotación exitosa de esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios en el servidor, instalar puertas traseras, exfiltrar datos confidenciales, modificar transacciones y pivotar hacia otros sistemas internos. Dada la criticidad de los sistemas Magento en el sector retail, el impacto económico potencial es elevado, con riesgos directos para la integridad de datos de clientes y la continuidad del negocio. Según estimaciones recientes, el 7% de las instalaciones Magento utilizan extensiones de Mirasvit, lo que podría traducirse en miles de sitios afectados globalmente.

A nivel regulatorio, la exfiltración de datos personales puede acarrear sanciones millonarias bajo el **Reglamento General de Protección de Datos (GDPR)** y la directiva **NIS2**, incrementando la presión sobre los responsables de seguridad.

#### Medidas de Mitigación y Recomendaciones

– **Actualizar inmediatamente** Full Page Cache Warmer a la versión 1.3.10 o superior, donde se ha corregido la vulnerabilidad.
– Revisar los logs de acceso y error del servidor en busca de actividad sospechosa desde el 1 de junio de 2024.
– Implementar reglas WAF específicas para bloquear peticiones con objetos PHP serializados hacia endpoints del plugin.
– Limitar el acceso a la administración de Magento mediante whitelisting de IPs.
– Realizar un análisis forense de los sistemas potencialmente comprometidos y cambiar las credenciales administrativas.
– Monitorizar la integridad de archivos y configurar alertas ante modificaciones no autorizadas.

#### Opinión de Expertos

Especialistas en ciberseguridad coinciden en que la deserialización insegura sigue siendo uno de los errores más comunes y peligrosos en desarrollos PHP. “La dependencia excesiva de extensiones de terceros sin auditorías de seguridad regulares está poniendo en jaque a la cadena de suministro de software en e-commerce”, afirma Laura Gutiérrez, analista SOC. Por su parte, el investigador Andrés Moya subraya la importancia de aplicar el principio de mínimo privilegio y segmentar los entornos de tienda online para minimizar el impacto de posibles brechas.

#### Implicaciones para Empresas y Usuarios

Para los responsables de seguridad, este incidente refuerza la necesidad de establecer políticas estrictas de gestión de extensiones y monitorización continua. Los usuarios finales pueden verse afectados por el robo de datos personales, fraudes o interrupción de servicios, lo que puede dañar irreparablemente la reputación de la tienda online y provocar pérdidas económicas cuantificables.

La tendencia creciente a la explotación de vulnerabilidades en la cadena de suministro de software, combinada con la presión de cumplimiento normativo (GDPR, NIS2), exige una estrategia proactiva que incluya revisiones de código, pentesting periódico y formación continua para desarrolladores y administradores.

#### Conclusiones

El caso de Full Page Cache Warmer pone de relieve el riesgo latente de las extensiones no auditadas en entornos críticos como Magento. La explotación activa de esta vulnerabilidad, sumada al amplio uso del plugin, exige una respuesta inmediata por parte de las organizaciones. Solo a través de actualizaciones rápidas, revisiones proactivas y una cultura de ciberseguridad orientada al riesgo se podrán mitigar incidentes de este calibre y salvaguardar tanto los activos empresariales como los datos de los clientes.

(Fuente: www.securityweek.com)