Gli aggressori installano gli skimmer elettronici Grazie a una vulnerabilità di tre anni, l'FBI avverte

A differenza di altre voci del glossario dei termini tecnici della sicurezza informatica, la parola "skimmer elettronico" è piuttosto semplice da spiegare. Proprio come uno skimmer per carte fisico raschia i dettagli delle carte bancarie da un bancomat, uno skimmer elettronico ruba i dati finanziari degli acquirenti dalle pagine di pagamento dei siti Web di e-commerce. Stranamente, tuttavia, al giorno d'oggi i professionisti della sicurezza informatica raramente usano la parola "skimmer elettronico". La maggior parte di questi attacchi è ora descritta con il termine 'Magecart', e questo perché, negli ultimi due anni, la maggior parte degli skimmer elettronici sono stati installati nei negozi online costruiti con Magento, una piattaforma open source per i siti Web di e-commerce.

Inizialmente, il termine "Magecart" era associato a un singolo gruppo di hacker che stava iniettando diverse righe di codice JavaScript che rubava le carte nelle pagine di checkout dei negozi online, ma in seguito il malware è diventato così popolare con così tanti diversi attori delle minacce, che divenne lentamente un nome collettivo per tutti gli attacchi di questo tipo. Parecchi siti Web di alto profilo sono stati vittima di attacchi Magecart e, nell'ottobre dello scorso anno, nientemeno che l'FBI ha avvertito gli amministratori dei negozi online dei rischi associati a Magecart.

Com'era prevedibile, non tutti ascoltarono e Magecart non scomparve dall'oggi al domani. Al contrario, i siti Web di e-commerce continuano a soffrire di infezioni da Magecart e gli specialisti della sicurezza informatica, così come le forze dell'ordine, continuano a cercare di prevenirli. Di recente, l'FBI ha emesso un altro avvertimento, questa volta descrivendo un particolare vettore di attacco usato dagli attori Magecart.

Gli hacker usano un plugin Magento vulnerabile per lanciare attacchi Magecart

Per iniettare codice dannoso in un sito Web, gli hacker devono in qualche modo compromettere la sicurezza del bersaglio e l'FBI sembra aver notato un po 'di tendenza nelle loro azioni. Secondo ZDNet, i proprietari di negozi online che utilizzano un vecchio plug-in Magento chiamato Magento Mass Import (o MAGMI) sono invitati a prendere le misure necessarie e migliorare la sicurezza del proprio sito Web.

Nell'aprile 2017, gli esperti di sicurezza hanno scoperto una vulnerabilità di scripting tra siti in MAGMI 0.7.22, che consente agli hacker di accedere ai file e iniettare codice dannoso nel sito Web di destinazione. La vulnerabilità è rilevata come CVE-2017-7391 ed è apparentemente ancora presente su molti siti Web. Secondo l'avviso dell'FBI, CVE-2017-7391 ha facilitato alcuni recenti attacchi. Una volta che gli hacker hanno iniettato il loro codice, il malware raschia le informazioni finanziarie degli ignari acquirenti, Base64 lo codifica in un file JPG e lo invia ai criminali informatici.

CVE-2017-7391 è stato corretto qualche tempo fa e l'aggiornamento di MAGMI alla versione 0.7.23 interromperà questo particolare vettore di infezione. Nella loro allerta, i federali includevano anche indicatori di compromesso, che gli amministratori possono utilizzare per migliorare la sicurezza dei loro siti Web. Sfortunatamente, questo potrebbe non essere abbastanza per proteggere adeguatamente un negozio online basato su Magento.

I negozi online usano ancora Magento 1

Il problema è più grande di quanto si pensi, e per capire perché è così, abbiamo bisogno di un po 'di lezione di storia. Magento è stato originariamente sviluppato da una società chiamata Varien ed è stato lanciato per la prima volta nel marzo 2008. Dopo alcuni ritardi, Magento 2.0, l'ultima versione importante, ha visto la luce sette anni dopo, a novembre 2015.

CVE-2017-7391, la vulnerabilità di tre anni che ha provocato l'avviso dell'FBI, si trova in MAGMI, un plug-in che funziona solo con Magento 1. In altre parole, se un sito Web utilizza MAGMI, è costruito su una piattaforma piuttosto vecchia . Inoltre, il 30 giugno 2020, tutte le versioni di Magento 1.x raggiungeranno la fine del ciclo di vita e non riceveranno più aggiornamenti di sicurezza.

In altre parole, dopo aver aggiornato il loro plugin MAGMI, gli amministratori che potrebbero essere colpiti da questo attacco dovrebbero anche pensare di migrare i loro negozi su piattaforme più moderne e più sicure.