近日，电子商务平台Magento下的一款非常热门的插件－Magmi被曝出了0 day漏洞，并且已经有黑客利用了这个漏洞来进行攻击。

Magento是一套专业的开源电子商务系统。Magento设计得非常的灵活，并且还具有模块化架构体系和丰富的功能，易于与第三方应用系统进行无缝集成。该系统面向企业级应用，可灵活处理各方面的需求，以及建设一个拥有多种用途和适用面广泛的电子商务网站。包括购物、航运、产品评论等等，充分利用了开源的特性，并且还提供代码库的开发，非常规范的标准，易于与第三方应用系统无缝集成。

Magmi 是Magento平台下的一款数开源的据导入工具，用户可以利用Magmi向Magento 系统目录中导入大量的产品数据，而且该插件还能提供灵活的插件模式以便用户进行业务扩展。研究人员发现，此次事件中，攻击者使用了一些不同的IP地址来扫描带有漏洞的Magmi版本。

Karl Sigler是Trustwave公司威胁情报部门的经理，他说到：“在对此次攻击事件的研究过程中，我们发现，其中有好几百次的访问请求是从两到三个不同的IP地址发出的。这也就意味着，这些攻击者正在进行扫描，而且也在进行自动攻击。这种攻击所带来的影响可能会超过我们的预测，因为这些自动化的攻击已经使我们的蜜罐系统受到了严重的破坏。”

Trustwave公司的研究人员表示，在此之前，Magento平台还存在一个目录遍历漏洞，这个漏洞允许攻击者能够访问Magento平台之中的本地XML文件，而且这些XML文件中还包含了平台中所有的凭证，证书，以及加密密钥，但这个漏洞的信息并未公布出来。

Sigler说到：“目前，最佳的安全实践方式就是不要将这个插件安装在Magento的根目录下，这样可以使系统目录或者XML文件变得更加的安全，而这也是降低安全风险最简单的方法。”

Magento已经开始向平台的用户们发送电子邮件来通知他们目前的情况，并且还敦促用户为平台的系统目录开启密码保护功能，或者创建一个访问控制列表，这样就可以防止系统目录被不法分子直接读取。

Sebastien Bracquemont是法国的一名软件开发者，Magmi插件就是由他进行开发和维护的。就现在的情况来看，Magento公司所提供的漏洞缓解方案是目前最有效的一种缓解措施。Trustwave的Sigler表示，他们已经通过多种渠道尝试去联系Bracquenmont，但均未能与他取得联系。

用户可以从两个开源代码库中获取到Magmi，即Sourceforge和Github。Sourceforge中的Magmi版本包含有这个0 day漏洞，而且当你用谷歌搜索Magmi的时候，显示在第一项的搜索结果就是它。Sourceforge上的Magmi已经有一年多没有更新了，而且在十月份，该插件的下载次数就超过了500次。与此同时，Github代码库中的Magmi是最新的版本，而且有问题的相关文件也已经移除了。

Sigler说到：“该插件的开发者可能并不经常使用Sourceforge，在将该项目迁移到了Github之后，便没有将这两个代码库中的Magmi进行同步更新，所以才导致这两个代码库中的版本是不同的。”

在过去的几个星期中，该公司的研究人员发现了相关的攻击代码，这些攻击代码会尝试搜索系统目录中的密码。目前，Trustwave公司已经在其官方网站中提供了有关此次攻击的详细信息。

GET /…sanitized…/magmi-importer/web/download_file.php?
file=../../app/etc/local.xml HTTP/1.1

Sigler说到：“攻击就是通过一个简单的GET请求来实现的；整个攻击的过程非常的简单，所以它看起来就想自动化攻击一样。我们在对系统日志进行了分析之后，并没有发现任何注入代码的痕迹，很可能是因为攻击者使用了简单的脚本，并通过脚本来扫描文件系统的漏洞。”

Sigler表示，插件在安装的过程中会给用户提供安全访问这些文件的操作方法。幸运的是，大多数的Magento用户都会谨慎地遵循软件的安装向导来进行操作。