Atakujący instalują e-skimmery Dzięki trzyletniej podatności FBI ostrzega
W przeciwieństwie do innych pozycji w glosariuszu terminów technicznych dotyczących bezpieczeństwa cybernetycznego, słowo „e-skimmer” jest dość łatwe do wyjaśnienia. Podobnie jak fizyczny skimmer kart usuwa dane karty bankomatowej z bankomatu, e-skimmer kradnie dane finansowe kupujących ze stron kasowych witryn e-commerce. Dziwne jest jednak, że specjaliści od cyberbezpieczeństwa rzadko używają obecnie słowa „e-skimmer”. Większość tych ataków jest teraz opisywana terminem „Magecart”, a to dlatego, że przez ostatnie kilka lat większość e-skimmerów była instalowana w sklepach internetowych zbudowanych z Magento, platformą open source dla stron handlu elektronicznego.
Początkowo termin „Magecart” kojarzył się z pojedynczą grupą hakerów, którzy wstrzykiwali kilka linii kodu JavaScript kradnącego karty na stronach kasowych sklepów internetowych, ale później złośliwe oprogramowanie stało się tak popularne wśród tak wielu różnych podmiotów atakujących, że powoli stała się zbiorową nazwą dla wszystkich tego typu ataków. Kilka głośnych stron internetowych padło ofiarą ataków Magecart, aw październiku ubiegłego roku tylko FBI ostrzegło administratorów sklepów internetowych przed zagrożeniami związanymi z Magecart.
Jak można się spodziewać, nie wszyscy słuchali, a Magecart nie zniknął z dnia na dzień. Wręcz przeciwnie, witryny handlu elektronicznego nadal cierpią na infekcje Magecart, a specjaliści ds. Bezpieczeństwa cybernetycznego, a także organy ścigania, nadal próbują im zapobiegać. Ostatnio FBI wydało jeszcze jedno ostrzeżenie, tym razem opisujące konkretny wektor ataku używany przez aktorów Magecart.
Hakerzy używają wrażliwej wtyczki Magento do przeprowadzania ataków Magecart
Aby wstrzyknąć złośliwy kod na stronę internetową, hakerzy muszą w jakiś sposób naruszyć bezpieczeństwo celu, a FBI najwyraźniej zauważyło pewien trend w swoich działaniach. Według ZDNet właściciele sklepów internetowych, którzy używają starej wtyczki Magento o nazwie Magento Mass Import (lub MAGMI), są proszeni o zrobienie koniecznego kroku i poprawę bezpieczeństwa swojej witryny.
W kwietniu 2017 r. Eksperci ds. Bezpieczeństwa odkryli lukę w skryptach krzyżowych w MAGMI 0.7.22, która pozwala hakerom uzyskiwać dostęp do plików i wstrzykiwać złośliwy kod na docelową stronę. Luka jest śledzona jako CVE-2017-7391 i najwyraźniej nadal występuje na wielu stronach internetowych. Zgodnie z ostrzeżeniem FBI, kilka ostatnich ataków zostało ułatwionych przez CVE-2017-7391. Gdy hakerzy wstrzykną swój kod, złośliwe oprogramowanie usuwa dane finansowe niczego nieświadomych nabywców, Base64 koduje je do pliku JPG i wysyła do cyberprzestępców.
CVE-2017-7391 został naprawiony jakiś czas temu, a aktualizacja MAGMI do wersji 0.7.23 zatrzyma ten konkretny wektor infekcji. W swoim powiadomieniu federalni uwzględnili również wskaźniki kompromisu, które administratorzy mogą wykorzystać do poprawy bezpieczeństwa swoich stron internetowych. Niestety może to nie wystarczyć do prawidłowego zabezpieczenia sklepu internetowego opartego na Magento.
Sklepy internetowe nadal korzystają z Magento 1
Problem jest większy niż mogłoby się wydawać. Aby zrozumieć, dlaczego tak jest, potrzebujemy lekcji historii. Magento zostało pierwotnie opracowane przez firmę Varien i zostało wprowadzone na rynek w marcu 2008 roku. Po kilku opóźnieniach Magento 2.0, najnowsze główne wydanie, ujrzało światło dzienne siedem lat później, w listopadzie 2015 roku.
CVE-2017-7391, trzyletnia luka, która wywołała alert FBI, została znaleziona w MAGMI, wtyczce, która działa tylko z Magento 1. Innymi słowy, jeśli strona internetowa używa MAGMI, jest zbudowana na dość starej platformie . Co więcej, 30 czerwca 2020 r. Wszystkie wersje Magento 1.x przestaną być dostępne i przestaną otrzymywać aktualizacje zabezpieczeń.
Innymi słowy, po aktualizacji wtyczki MAGMI administratorzy, na których ten atak może mieć wpływ, powinni również pomyśleć o migracji swoich sklepów na bardziej nowoczesne i bezpieczniejsze platformy.
