Los atacantes instalan E-Skimmers gracias a una vulnerabilidad de tres años, advierte el FBI

A diferencia de otras entradas en el glosario de ciberseguridad de términos técnicos, la palabra 'e-skimmer' es bastante sencilla de explicar. Al igual que un skimmer de tarjeta física raspa los datos de la tarjeta bancaria de un cajero automático, un skimmer electrónico roba los datos financieros de los compradores de las páginas de pago de los sitios web de comercio electrónico. Extrañamente, sin embargo, los profesionales de ciberseguridad rara vez usan la palabra 'e-skimmer' hoy en día. La mayoría de estos ataques ahora se describen con el término 'Magecart', y eso se debe a que, durante los últimos años, la mayoría de los e-skimmers se han instalado en tiendas en línea creadas con Magento, una plataforma de código abierto para sitios web de comercio electrónico.

Al principio, el término "Magecart" se asoció con un solo grupo de piratas informáticos que estaba inyectando varias líneas de código JavaScript de robo de tarjetas en las páginas de pago de las tiendas en línea, pero más tarde, el malware se hizo tan popular con tantos actores de amenazas diferentes, que lentamente se convirtió en un nombre colectivo para todos los ataques de este tipo. Un buen número de sitios web de alto perfil fueron víctimas de los ataques de Magecart, y en octubre del año pasado, nada menos que el FBI advirtió a los administradores de las tiendas en línea sobre los riesgos asociados con Magecart.

Como era de esperar, no todos escucharon, y Magecart no desapareció de la noche a la mañana. Por el contrario, los sitios web de comercio electrónico continúan sufriendo infecciones de Magecart, y los especialistas en ciberseguridad, así como las agencias de aplicación de la ley, continúan tratando de prevenirlos. Recientemente, el FBI emitió otra advertencia, esta vez que describe un vector de ataque particular utilizado por los actores de Magecart.

Los hackers usan un plugin vulnerable de Magento para lanzar ataques de Magecart

Para inyectar código malicioso en un sitio web, los piratas informáticos deben comprometer la seguridad del objetivo de alguna manera, y el FBI aparentemente ha notado una tendencia en sus acciones. Según ZDNet, se insta a los propietarios de tiendas en línea que usan un antiguo complemento de Magento llamado Magento Mass Import (o MAGMI) a tomar las medidas necesarias y mejorar la seguridad de su sitio web.

En abril de 2017, los expertos en seguridad descubrieron una vulnerabilidad de secuencias de comandos entre sitios en MAGMI 0.7.22, que permite a los piratas informáticos acceder a los archivos e inyectar código malicioso en el sitio web objetivo. La vulnerabilidad se rastrea como CVE-2017-7391, y aparentemente todavía está presente en muchos sitios web. Según la alerta del FBI, CVE-2017-7391 facilitó bastantes ataques recientes. Una vez que los piratas informáticos inyectan su código, el malware raspa la información financiera de los compradores desprevenidos, Base64 lo codifica en un archivo JPG y lo envía a los cibercriminales.

CVE-2017-7391 se corrigió hace un tiempo, y actualizar MAGMI a la versión 0.7.23 detendrá este vector de infección en particular. En su alerta, los federales también incluyeron indicadores de compromiso, que los administradores pueden usar para mejorar la seguridad de sus sitios web. Desafortunadamente, esto podría no ser suficiente para asegurar adecuadamente una tienda en línea basada en Magento.

Las tiendas en línea todavía usan Magento 1

El problema es más grande de lo que piensas, y para darnos cuenta de por qué es así, necesitamos un poco de una lección de historia. Magento fue desarrollado originalmente por una compañía llamada Varien, y se lanzó por primera vez en marzo de 2008. Después de algunos retrasos, Magento 2.0, la última versión importante, salió a la luz siete años después, en noviembre de 2015.

CVE-2017-7391, la vulnerabilidad de tres años que provocó la alerta del FBI, se encuentra en MAGMI, un complemento que solo funciona con Magento 1. En otras palabras, si un sitio web usa MAGMI, está construido en una plataforma bastante antigua . Además, el 30 de junio de 2020, todas las versiones de Magento 1.x llegarán al final de su vida útil y dejarán de recibir actualizaciones de seguridad.

En otras palabras, después de actualizar su complemento MAGMI, los administradores que podrían verse afectados por este ataque también deberían pensar en migrar sus tiendas a plataformas más modernas y más seguras.