A támadók az E-Skimmereket telepítik egy hároméves biztonsági résnek köszönhetően, figyelmezteti az FBI
A műszaki kifejezések kiberbiztonsági szótárában szereplő egyéb bejegyzésekkel ellentétben az „e-skimmer” szó meglehetősen egyszerűen magyarázható. Csakúgy, mint a fizikai kártyás skimmer az ATM-ből lekaparja a bankkártya adatait, az e-skimmer ellopja a vásárlók pénzügyi adatait az e-kereskedelmi webhelyek pénztárain. Furcsa módon manapság azonban a kiberbiztonsági szakemberek ritkán használják az „e-skimmer” szót. E támadások többségét most a „Magecart” kifejezéssel írják le, és azért, mert az elmúlt néhány évben a legtöbb e-skimmert az online üzletbe telepítették, amelyet a Magento, az e-kereskedelmi webhelyek nyílt forráskódú platformja épített.
Először a "Magecart" kifejezést egy hackerek egyetlen csoportjával társították, amely több sor kártyát lopó JavaScript-kódot injektált az online áruházak pénztárain, de később a rosszindulatú program annyira népszerűvé vált olyan sokféle fenyegető szereplő között, hogy lassan ez az összes támadás kollektív neve lett. Néhány magas rangú webhely a Magecart támadásainak áldozatává vált, és tavaly októberben az FBI-n kívül más nem figyelmeztette az online áruház adminisztrátorait a Magecarthoz kapcsolódó kockázatokra.
Előreláthatóan nem mindenki hallgatta, és Magecart egyetlen éjjel sem tűnt el. Éppen ellenkezőleg, az e-kereskedelmi webhelyek továbbra is szenvednek a Magecart-fertőzésektől, és a kiberbiztonsági szakemberek, valamint a bűnüldöző szervek továbbra is megkísérelik megelőzni őket. Nemrégiben az FBI újabb figyelmeztetést adott ki, ezúttal egy Magecart-szereplők által használt támadási vektorról.
A hackerek sebezhető Magento plugint használnak a Magecart támadások indításához
Annak érdekében, hogy rosszindulatú kódot fecskendezzenek be egy weboldalra, a hackereknek valamilyen módon veszélyeztetniük kell a célpont biztonságát, és az FBI nyilvánvalóan észrevette cselekedeteik kis tendenciáját. A ZDNet szerint az online üzlettulajdonosokat, akik egy régi Magento plugin-t, Magento Mass Import (vagy MAGMI) használnak, felszólítják, hogy tegyék meg a szükséges lépéseket és javítsák webhelyük biztonságát.
2017. áprilisában a biztonsági szakértők felfedezték a webhelyek közötti szkriptek biztonsági rését a MAGMI 0.7.22-ben, amely lehetővé teszi a hackerek számára a fájlok elérését és a rosszindulatú kódok fecskendezését a megcélzott webhelyre. A sérülékenységet a CVE-2017-7391 kód alatt követjük, és nyilvánvalóan még mindig jelen van sok webhelyen. Az FBI figyelmeztetése szerint a CVE-2017-7391 számos közelmúltbeli támadást elősegített. Miután a hackerek befecskendezték a kódot, a rosszindulatú program megkaparja a gyanútlan vásárlói pénzügyi információkat, az Base64 egy JPG fájlba kódolja, és elküldi a számítógépes bűnözőknek.
A CVE-2017-7391 egy ideje javításra került, és a MAGMI frissítése a 0.7.23 verzióra megállítja az adott fertőzésvektort. Riasztásukban a feds a kompromisszum mutatóit is tartalmazták, amelyeket az adminisztrátorok felhasználhatnak webhelyeik biztonságának javítására. Sajnos ez valószínűleg nem elég a Magento-alapú online üzlet megfelelő biztonságához.
Az online boltok továbbra is használják a Magento 1-et
A probléma nagyobb, mint gondolnád, és hogy megértsük, miért van ez így, szükségünk van egy kis történelemórára. A Magento-t eredetileg egy Varien nevû társaság fejlesztette ki, és elsõként 2008 márciusában indította el. Néhány késés után a Magento 2.0, a legfrissebb nagy kiadás hét évvel késõbb, 2015 novemberében látta a napvilágot.
A CVE-2017-7391, az FBI figyelmeztetést kiváltó három éves biztonsági rése a MAGMI-ban található, amely csak a Magento 1-rel működik. Más szavakkal: ha egy weboldal MAGMI-t használ, akkor egy nagyon régi platformra épül. . Sőt, 2020. június 30-án az összes Magento 1.x verzió eléri az élettartamot, és nem fogja megkapni a biztonsági frissítéseket.
Más szavakkal, miután frissítették a MAGMI pluginjukat, az adminisztrátoroknak, akiket ez a támadás érinthet, gondolkodniuk kell üzleteik átállításáról a modernabb és biztonságosabb platformokra.