Angreifer installieren E-Skimmer Dank einer drei Jahre alten Sicherheitslücke warnt das FBI

Im Gegensatz zu anderen Einträgen im Cybersecurity-Glossar der Fachbegriffe ist das Wort "E-Skimmer" ziemlich einfach zu erklären. So wie ein physischer Kartenabschäumer Bankkartendaten von einem Geldautomaten kratzt, stiehlt ein E-Skimmer die Finanzdaten der Käufer von den Checkout-Seiten der E-Commerce-Websites. Seltsamerweise verwenden Cybersecurity-Experten heutzutage selten das Wort "E-Skimmer". Die meisten dieser Angriffe werden jetzt mit dem Begriff "Magecart" beschrieben. Dies liegt daran, dass die meisten E-Skimmer in den letzten Jahren in Online-Shops installiert wurden, die mit Magento, einer Open-Source-Plattform für E-Commerce-Websites, erstellt wurden.

Anfangs wurde der Begriff "Magecart" mit einer einzelnen Gruppe von Hackern in Verbindung gebracht, die mehrere Zeilen JavaScript-Code, der Karten stahl, in die Checkout-Seiten der Online-Shops einfügten. Später wurde die Malware jedoch bei so vielen verschiedenen Bedrohungsakteuren so beliebt, dass es wurde langsam ein kollektiver Name für alle Angriffe dieser Art. Nicht wenige hochkarätige Websites wurden Opfer von Magecart-Angriffen, und im Oktober letzten Jahres warnte kein anderer als das FBI die Administratoren von Online-Shops vor den mit Magecart verbundenen Risiken.

Vorhersehbar hörten nicht alle zu und Magecart verschwand nicht über Nacht. Im Gegenteil, E-Commerce-Websites leiden weiterhin unter Magecart-Infektionen, und Cybersicherheitsspezialisten sowie Strafverfolgungsbehörden versuchen weiterhin, diese zu verhindern. Kürzlich gab das FBI eine weitere Warnung heraus, die diesmal einen bestimmten Angriffsvektor beschreibt, der von Magecart-Schauspielern verwendet wird.

Hacker verwenden ein anfälliges Magento-Plugin, um Magecart-Angriffe zu starten

Um bösartigen Code in eine Website einzufügen, müssen die Hacker die Sicherheit des Ziels auf irgendeine Weise gefährden, und das FBI hat anscheinend einen gewissen Trend in ihren Aktionen bemerkt. Laut ZDNet werden Online-Shop-Besitzer, die ein altes Magento-Plugin namens Magento Mass Import (oder MAGMI) verwenden, aufgefordert, die erforderlichen Schritte zu unternehmen und die Sicherheit ihrer Website zu verbessern.

Im April 2017 entdeckten Sicherheitsexperten in MAGMI 0.7.22 eine Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting, mit der Hacker auf Dateien zugreifen und schädlichen Code in die Zielwebsite einfügen können. Die Sicherheitsanfälligkeit wird als CVE-2017-7391 verfolgt und ist anscheinend immer noch auf vielen Websites vorhanden. Laut der Warnung des FBI wurden durch CVE-2017-7391 in jüngster Zeit einige Angriffe erleichtert. Sobald die Hacker ihren Code einfügen, kratzt die Malware die Finanzinformationen ahnungsloser Käufer, Base64-codiert sie in eine JPG-Datei und sendet sie an die Cyberkriminellen.

CVE-2017-7391 wurde vor einiger Zeit behoben, und die Aktualisierung von MAGMI auf Version 0.7.23 stoppt diesen bestimmten Infektionsvektor. In ihrer Warnung enthielten die Behörden auch Kompromissindikatoren, anhand derer Administratoren die Sicherheit ihrer Websites verbessern können. Leider reicht dies möglicherweise nicht aus, um einen Magento-basierten Online-Shop ordnungsgemäß zu sichern.

Online-Shops verwenden weiterhin Magento 1

Das Problem ist größer als Sie vielleicht denken, und um zu erkennen, warum dies der Fall ist, brauchen wir eine kleine Geschichtsstunde. Magento wurde ursprünglich von einer Firma namens Varien entwickelt und erstmals im März 2008 eingeführt. Nach einigen Verzögerungen erblickte Magento 2.0, die neueste Hauptversion, sieben Jahre später, im November 2015, das Licht der Welt.

CVE-2017-7391, die drei Jahre alte Sicherheitsanfälligkeit, die den FBI-Alarm ausgelöst hat, befindet sich in MAGMI, einem Plugin, das nur mit Magento 1 funktioniert. Mit anderen Worten, wenn eine Website MAGMI verwendet, basiert sie auf einer ziemlich alten Plattform . Darüber hinaus werden am 30. Juni 2020 alle Magento 1.x-Versionen das Ende ihrer Lebensdauer erreichen und keine Sicherheitsupdates mehr erhalten.

Mit anderen Worten, nach der Aktualisierung ihres MAGMI-Plugins sollten Administratoren, die von diesem Angriff betroffen sein könnten, auch darüber nachdenken, ihre Shops auf modernere und sicherere Plattformen zu migrieren.