Angribere installerer e-skimmers takket være en treårig sårbarhed advarer FBI

I modsætning til andre poster i cybersecurity-ordlisten med tekniske termer, er ordet 'e-skimmer' temmelig ligetil at forklare. Ligesom en fysisk kortskimmer skraber bankkortdetaljer fra en pengeautomat, stjæler en e-skimmer kunders økonomiske data fra kassesiderne på e-handelswebsteder. Underligt er det, at cybersecurity-fagfolk sjældent bruger ordet 'e-skimmer' i dag. De fleste af disse angreb beskrives nu med udtrykket 'Magecart', og det skyldes, at de fleste e-skimmere i de sidste par år er blevet installeret på online butikker bygget med Magento, en open source-platform til e-handelswebsteder.

Først blev udtrykket "Magecart" forbundet med en enkelt gruppe af hackere, der sprøjter adskillige linjer med kortstjælende JavaScript-kode på online-butiks kassesider, men senere blev malware så populær blandt så mange forskellige trusselsaktører, at det blev langsomt et kollektivt navn for alle angreb af denne type. En hel del høje profilerede websteder faldt offer for Magecart-angreb, og i oktober sidste år advarede ingen anden end FBI online shop-administratorer om risiciene forbundet med Magecart.

Forudsigeligt lyttede ikke alle, og Magecart forsvandt ikke natten over. Tværtimod lider e-handelswebsteder fortsat af Magecart-infektioner, og cybersikkerhedsspecialister såvel som retshåndhævelsesbureauer fortsætter med at forsøge at forhindre dem. For nylig udsendte FBI endnu en advarsel, denne gang beskriver en bestemt angrebsvektor brugt af Magecart-skuespillere.

Hackere bruger et sårbart Magento-plugin til at starte Magecart-angreb

For at kunne injicere ondsindet kode på et websted er hackere nødt til at gå på kompromis med målets sikkerhed på en eller anden måde, og FBI har tilsyneladende bemærket en smule tendens i deres handlinger. Ifølge ZDNet opfordres ejerne af online-butikker, der bruger et gammelt Magento-plugin kaldet Magento Mass Import (eller MAGMI) til at tage det nødvendige skridt og forbedre sikkerheden på deres websted.

I april 2017 opdagede sikkerhedseksperter en script-sårbarhed på tværs af steder i MAGMI 0.7.22, som giver hackere adgang til filer og injicere ondsindet kode på det målrettede websted. Sårbarheden spores som CVE-2017-7391, og den er tilsyneladende stadig til stede på mange websteder. I henhold til FBI's advarsel blev en hel del nylige angreb lettet af CVE-2017-7391. Når hackerne har injiceret deres kode, skraber malware malware-intetanende køberes økonomiske oplysninger, koder Base64 den i en JPG-fil og sender den til cyberkriminelle.

CVE-2017-7391 blev rettet for et stykke tid siden, og opdatering af MAGMI til version 0.7.23 stopper netop denne infektionsvektor. I deres alarm inkluderede feds også indikatorer for kompromis, som administratorer kan bruge til at forbedre sikkerheden på deres websteder. Desværre er dette muligvis ikke helt nok til korrekt at sikre en Magento-baseret online shop.

Onlinebutikker bruger stadig Magento 1

Problemet er større, end du måske tror, og for at indse, hvorfor dette er tilfældet, har vi brug for lidt af en historielektion. Magento blev oprindeligt udviklet af et firma kaldet Varien, og det blev først lanceret i marts 2008. Efter en hel del forsinkelser så Magento 2.0, den seneste større udgivelse, dagens lys syv år senere, i november 2015.

CVE-2017-7391, den tre år gamle sårbarhed, der anmodede om FBI-alarmer, findes i MAGMI, et plugin, der kun fungerer med Magento 1. Med andre ord, hvis et websted bruger MAGMI, er det bygget på en smuk gammel platform . Hvad mere er, den 30. juni 2020 vil alle Magento 1.x-versioner nå slutningen af livet og stoppe med at modtage sikkerhedsopdateringer.

Med andre ord, efter at de har opdateret deres MAGMI-plugin, bør administratorer, der kunne blive påvirket af dette angreb, også tænke på at migrere deres butikker til mere moderne og mere sikre platforme.