Angripere installerer e-skimmere takket være en tre år gammel sårbarhet, advarer FBI

I motsetning til andre oppføringer i cybersecurity-ordlisten for tekniske termer, er ordet "e-skimmer" ganske enkelt å forklare. Akkurat som en fysisk kort skimmer skraper bankkortdetaljer fra en minibank, stjeler en e-skimmer kunders økonomiske data fra kassesidene på nettsteder med e-handel. Rart er det imidlertid at fagpersoner innen cybersikkerhet sjelden bruker ordet 'e-skimmer' i dag. De fleste av disse angrepene er nå beskrevet med uttrykket 'Magecart', og det er fordi de fleste e-skimmere de siste par årene er installert i nettbutikker bygget med Magento, en åpen kildekode-plattform for e-handelsnettsteder.

Til å begynne med ble uttrykket "Magecart" assosiert med en enkelt gruppe hackere som sprøytet inn flere linjer med kort-stjeling av JavaScript-kode på nettbutikkers kassesider, men senere ble skadelig programvare så populært blant så mange forskjellige trusselaktører, at det ble sakte et samlingsnavn for alle angrep av denne typen. Ganske mange høyprofilerte nettsteder falt offer for Magecart-angrep, og i oktober i fjor advarte ingen ringere enn FBI nettbutikkadministratorer om risikoen forbundet med Magecart.

Forutsigbart var det ikke alle som hørte på, og Magecart forsvant ikke over natten. Tvert imot, nettsteder med e-handel fortsetter å lide av Magecart-infeksjoner, og spesialister innen cybersikkerhet, så vel som rettshåndhevingsbyråer, fortsetter å prøve å forhindre dem. Nylig ga FBI ut en ny advarsel, denne gangen beskriver en bestemt angrepsvektor brukt av Magecart-skuespillere.

Hackere bruker en sårbar Magento-plugin for å starte Magecart-angrep

For å kunne injisere ondsinnet kode på et nettsted, trenger hackerne å kompromittere målets sikkerhet på noen måte, og FBI har tilsynelatende lagt merke til litt av en trend i sine handlinger. I følge ZDNet blir eiere av nettbutikker som bruker en gammel Magento-plugin kalt Magento Mass Import (eller MAGMI) oppfordret til å ta det nødvendige skritt og forbedre sikkerheten på nettstedet deres.

I april 2017 oppdaget sikkerhetseksperter et script-sårbarhet på tvers av nettsteder i MAGMI 0.7.22, som lar hackere få tilgang til filer og injisere skadelig kode på det målrettede nettstedet. Sårbarheten spores som CVE-2017-7391, og den er tilsynelatende fortsatt til stede på mange nettsteder. I følge FBIs varsling ble det lagt til rette for ganske mange nylige angrep av CVE-2017-7391. Når hackerne har injisert koden, skrap skadelig programvare intetanende kjøperes økonomiske informasjon, koder Base64 den til en JPG-fil og sender den til nettkriminelle.

CVE-2017-7391 ble fikset for en stund siden, og å oppdatere MAGMI til versjon 0.7.23 vil stoppe denne spesielle infeksjonsvektoren. I varselet deres inkluderte feds også indikatorer på kompromiss, som administratorer kan bruke for å forbedre sikkerheten på nettstedene sine. Dessverre er det ikke sikkert at dette er riktig nok til å sikre en Magento-basert nettbutikk ordentlig.

Nettbutikker bruker fremdeles Magento 1

Problemet er større enn du kanskje tror, og for å innse hvorfor dette er tilfelle, trenger vi litt av en historietime. Magento ble opprinnelig utviklet av et selskap kalt Varien, og ble først lansert i mars 2008. Etter ganske mange forsinkelser så Magento 2.0, den siste store utgivelsen, dagens lys syv år senere, i november 2015.

CVE-2017-7391, den tre år gamle sårbarheten som ba FBI-varselet, finnes i MAGMI, en plugin som bare fungerer med Magento 1. Med andre ord, hvis en webside bruker MAGMI, er det bygget på en ganske gammel plattform . Den 30. juni 2020 vil alle Magento 1.x-versjoner nå levetid og slutte å motta sikkerhetsoppdateringer.

Med andre ord, etter at de har oppdatert MAGMI-pluginen, bør administratorer som kan bli berørt av dette angrepet, også tenke på å migrere butikkene sine til mer moderne og sikrere plattformer.