Οι επιτιθέμενοι εγκαθιστούν E-Skimmers Χάρη στην τρωτότητα τριών ετών, το FBI προειδοποιεί

Σε αντίθεση με άλλες καταχωρίσεις στο γλωσσάριο τεχνικών όρων στον κυβερνοχώρο, η λέξη «e-skimmer» είναι αρκετά απλή για να εξηγηθεί. Ακριβώς όπως μια φυσική κάρτα skimmer αποκόπτει τα στοιχεία της τραπεζικής κάρτας από ένα ATM, ένα e-skimmer κλέβει τα οικονομικά δεδομένα των αγοραστών από τις σελίδες πληρωμής των ιστότοπων ηλεκτρονικού εμπορίου. Παραδόξως, ωστόσο, οι επαγγελματίες στον τομέα της ασφάλειας στον κυβερνοχώρο σπάνια χρησιμοποιούν τη λέξη «e-skimmer» στις μέρες μας. Οι περισσότερες από αυτές τις επιθέσεις περιγράφονται τώρα με τον όρο «Magecart» και αυτό συμβαίνει επειδή, τα τελευταία δύο χρόνια, τα περισσότερα e-skimmers έχουν εγκατασταθεί σε διαδικτυακά καταστήματα που έχουν κατασκευαστεί με το Magento, μια πλατφόρμα ανοιχτού κώδικα για ιστότοπους ηλεκτρονικού εμπορίου.

Αρχικά, ο όρος "Magecart" συσχετίστηκε με μια μόνο ομάδα χάκερ που εισέπραξε αρκετές γραμμές κώδικα JavaScript που κλέβουν κάρτες σε σελίδες αγοράς ηλεκτρονικών καταστημάτων, αλλά αργότερα, το κακόβουλο λογισμικό έγινε τόσο δημοφιλές σε τόσους διαφορετικούς παράγοντες απειλής, που έγινε αργά ένα συλλογικό όνομα για όλες τις επιθέσεις αυτού του τύπου. Αρκετοί ιστότοποι υψηλού προφίλ έπεσαν θύματα επιθέσεων Magecart και τον Οκτώβριο του περασμένου έτους, κανένας άλλος από το FBI προειδοποίησε τους διαχειριστές διαδικτυακών καταστημάτων για τους κινδύνους που συνδέονται με τη Magecart.

Προφανώς, δεν άκουσαν όλοι και ο Magecart δεν εξαφανίστηκε εν μία νυκτί. Αντίθετα, οι ιστότοποι ηλεκτρονικού εμπορίου συνεχίζουν να πάσχουν από μολύνσεις από το Magecart, και οι ειδικοί στον κυβερνοχώρο, καθώς και οι υπηρεσίες επιβολής του νόμου, συνεχίζουν να προσπαθούν και να τους αποτρέψουν. Πρόσφατα, το FBI εξέδωσε μια ακόμη προειδοποίηση, αυτή τη φορά περιγράφοντας ένα συγκεκριμένο φορέα επίθεσης που χρησιμοποιείται από τους ηθοποιούς της Magecart.

Οι χάκερ χρησιμοποιούν ένα ευάλωτο πρόγραμμα προσθήκης Magento για να ξεκινήσουν επιθέσεις Magecart

Προκειμένου να εισάγουν κακόβουλο κώδικα σε έναν ιστότοπο, οι χάκερ πρέπει να διακυβεύσουν με κάποιο τρόπο την ασφάλεια του στόχου και το FBI έχει προφανώς παρατηρήσει μια τάση στις ενέργειές τους. Σύμφωνα με το ZDNet, οι ιδιοκτήτες διαδικτυακών καταστημάτων που χρησιμοποιούν ένα παλιό πρόσθετο Magento που ονομάζεται Magento Mass Import (ή MAGMI) καλούνται να κάνουν το απαραίτητο βήμα και να βελτιώσουν την ασφάλεια του ιστότοπού τους.

Τον Απρίλιο του 2017, ειδικοί ασφαλείας ανακάλυψαν μια ευπάθεια σεναρίων μεταξύ ιστότοπων στο MAGMI 0.7.22, το οποίο επιτρέπει στους εισβολείς να έχουν πρόσβαση σε αρχεία και να εισάγουν κακόβουλο κώδικα στον στοχευμένο ιστότοπο. Η ευπάθεια παρακολουθείται ως CVE-2017-7391 και προφανώς εξακολουθεί να υπάρχει σε πολλούς ιστότοπους. Σύμφωνα με την προειδοποίηση του FBI, αρκετές πρόσφατες επιθέσεις διευκολύνθηκαν από το CVE-2017-7391. Μόλις οι εισβολείς εισάγουν τον κωδικό τους, το κακόβουλο λογισμικό αφαιρεί ανυποψίαστες τις οικονομικές πληροφορίες των αγοραστών, το Base64 το κωδικοποιεί σε ένα αρχείο JPG και τα στέλνει στους κυβερνοεγκληματίες.

Το CVE-2017-7391 διορθώθηκε πριν από λίγο και η ενημέρωση του MAGMI στην έκδοση 0.7.23 θα σταματήσει αυτόν τον συγκεκριμένο φορέα μόλυνσης. Στην προειδοποίησή τους, οι feds περιλάμβαναν επίσης δείκτες συμβιβασμού, τους οποίους οι διαχειριστές μπορούν να χρησιμοποιήσουν για να βελτιώσουν την ασφάλεια των ιστοτόπων τους. Δυστυχώς, αυτό μπορεί να μην είναι αρκετό για να εξασφαλίσει σωστά ένα διαδικτυακό κατάστημα με βάση το Magento.

Τα διαδικτυακά καταστήματα εξακολουθούν να χρησιμοποιούν το Magento 1

Το πρόβλημα είναι μεγαλύτερο από ό, τι νομίζετε, και για να συνειδητοποιήσουμε γιατί συμβαίνει αυτό, χρειαζόμαστε λίγο ένα μάθημα ιστορίας. Το Magento αναπτύχθηκε αρχικά από μια εταιρεία που ονομάζεται Varien και κυκλοφόρησε για πρώτη φορά τον Μάρτιο του 2008. Μετά από αρκετές καθυστερήσεις, το Magento 2.0, η τελευταία μεγάλη κυκλοφορία, είδε το φως της ημέρας επτά χρόνια αργότερα, τον Νοέμβριο του 2015.

Το CVE-2017-7391, η τριάχρονη ευπάθεια που προκάλεσε την ειδοποίηση του FBI, βρίσκεται στο MAGMI, ένα πρόσθετο που λειτουργεί μόνο με το Magento 1. Με άλλα λόγια, εάν ένας ιστότοπος χρησιμοποιεί MAGMI, είναι χτισμένος σε μια αρκετά παλιά πλατφόρμα . Επιπλέον, στις 30 Ιουνίου 2020, όλες οι εκδόσεις Magento 1.x θα φτάσουν στο τέλος του κύκλου ζωής τους και θα σταματήσουν να λαμβάνουν ενημερώσεις ασφαλείας.

Με άλλα λόγια, αφού ενημερώσουν την προσθήκη MAGMI, οι διαχειριστές που θα μπορούσαν να επηρεαστούν από αυτήν την επίθεση θα πρέπει επίσης να σκεφτούν για τη μετεγκατάσταση των καταστημάτων τους σε πιο σύγχρονες και πιο ασφαλείς πλατφόρμες.