Dėl trejų metų pažeidžiamumo užpuolikai įdiegia „E-Skimmer“, įspėja FTB

Skirtingai nuo kitų įrašų kibernetinio saugumo techninių terminų žodynėlyje, žodį „e-skimmer“ paaiškinti gana paprasta. Panašiai kaip fizinis kortelių nugriebėjas nuskaito bankomatų duomenis iš bankomato, e-skimmeris vagia pirkėjų finansinius duomenis iš elektroninės prekybos svetainių patikros puslapių. Keista, tačiau šiais laikais kibernetinio saugumo specialistai retai naudoja žodį „e-skimmer“. Dabar dauguma šių išpuolių apibūdinami terminu „Magecart“. Taip yra todėl, kad pastaruosius kelerius metus dauguma elektroninių skimerių buvo įdiegta internetinėse parduotuvėse, pastatytose su „Magento“ - elektroninės komercijos svetainių atvirojo kodo platforma.

Iš pradžių terminas „Magecart“ buvo siejamas su viena įsilaužėlių grupe, kuri į internetinių parduotuvių kasų puslapius suleisdavo kelias eilutes kortelių vagysčių „JavaScript“ kodo, tačiau vėliau kenkėjiška programa išpopuliarėjo tiek daug skirtingų grėsmės dalyvių, kad ji pamažu tapo kolektyviniu visų šio tipo išpuolių pavadinimu. Nemažai aukšto lygio svetainių tapo „Magecart“ išpuolių auka, o praėjusių metų spalį niekas kitas, išskyrus FTB, neįspėjo internetinių parduotuvių administratorių apie su „Magecart“ susijusią riziką.

Prognozuojama, kad ne visi klausėsi ir Magecartas neišnyko per naktį. Atvirkščiai, el. Prekybos svetainėse ir toliau kenčiama nuo „Magecart“ infekcijų, o kibernetinio saugumo specialistai, taip pat teisėsaugos agentūros ir toliau bando jų išvengti. Neseniai FTB paskelbė dar vieną įspėjimą, šį kartą apibūdinantį tam tikrą atakos vektorių, kurį naudojo „Magecart“ veikėjai.

Piratai naudoja pažeidžiamą „Magento“ papildinį, kad paleistų „Magecart“ atakas

Norėdami įsileisti kenksmingą kodą į svetainę, įsilaužėliai turi tam tikru būdu pakenkti taikinio saugumui, ir FTB, matyt, pastebėjo šiek tiek jų veiksmų tendencijos. Anot „ ZDNet“, internetinių parduotuvių savininkai, kurie naudojasi senu „Magento“ įskiepiu, vadinamu „Magento Mass Import“ (arba MAGMI), raginami žengti reikiamą žingsnį ir pagerinti savo svetainės saugumą.

2017 m. Balandžio mėn. Saugumo ekspertai aptiko „MAGMI 0.7.22“ svetainių scenarijų pažeidžiamumą, kuris leidžia įsilaužėliams pasiekti failus ir švirkšti kenksmingą kodą į tikslinę svetainę. Pažeidžiamumas stebimas kaip CVE-2017-7391 ir, matyt, vis dar yra daugelyje svetainių. Remiantis FTB perspėjimu, nemažai pastarųjų išpuolių palengvino CVE-2017-7391. Kai įsilaužėliai suleidžia savo kodą, kenkėjiška programinė įranga subraižo neįtariamą pirkėjų finansinę informaciją, „Base64“ koduoja ją į JPG failą ir išsiunčia elektroniniams nusikaltėliams.

CVE-2017-7391 buvo pataisytas prieš kurį laiką, o atnaujinus MAGMI į 0.7.23 versiją, bus sustabdytas šis konkretus infekcijos vektorius. Į savo perspėjimą feds taip pat įtraukė kompromiso rodiklius, kuriuos administratoriai gali naudoti norėdami pagerinti savo svetainių saugumą. Deja, to gali nepakakti norint tinkamai apsaugoti „Magento“ internetinę parduotuvę.

Internetinėse parduotuvėse vis dar naudojamas „Magento 1“

Problema yra didesnė, nei jūs galite pamanyti, ir kad suprastume, kodėl taip yra, mums reikia šiek tiek istorijos pamokos. Iš pradžių „Magento“ sukūrė bendrovė, pavadinimu Varien, ji pirmą kartą buvo paleista 2008 m. Kovo mėn. Po daugelio vėlavimų naujausias stambus leidimas „Magento 2.0“ dienos šviesą išvydo po septynerių metų, 2015 m. Lapkričio mėn.

Trejų metų pažeidžiamumas, sukėlęs FTB perspėjimą, yra CVE-2017-7391, aptinkamas MAGMI - papildinyje, kuris veikia tik su „Magento 1.“. Kitaip tariant, jei svetainė naudoja MAGMI, ji yra sukurta ant gana senos platformos. . Be to, 2020 m. Birželio 30 d. Visos „Magento 1.x“ versijos pasieks eksploatavimo pabaigą ir nebebus teikiamos saugos naujinimai.

Kitaip tariant, atnaujinę savo MAGMI papildinį, administratoriai, kuriems ši ataka gali turėti įtakos, taip pat turėtų pagalvoti apie savo parduotuvių perkėlimą į modernesnes ir saugesnes platformas.