Злоумышленники устанавливают электронные скиммеры благодаря трехлетней уязвимости, ФБР предупреждает

В отличие от других статей в глоссарии технических терминов по кибербезопасности, слово «электронный скиммер» довольно просто объяснить. Точно так же, как физический скиммер карт извлекает данные банковской карты из банкомата, электронный скиммер крадет финансовые данные покупателей со страниц оформления заказа на сайтах электронной коммерции. Как ни странно, профессионалы в области кибербезопасности в наше время редко используют слово «e-skimmer». Большинство этих атак теперь описываются термином «Magecart», и это потому, что в последние пару лет большинство электронных скиммеров были установлены в онлайн-магазинах, созданных с помощью Magento, платформы с открытым исходным кодом для сайтов электронной коммерции.

Сначала термин «Magecart» ассоциировался с единственной группой хакеров, которая внедряла несколько строк кода JavaScript для кражи карт в страницы оформления заказов в онлайн-магазинах, но позже вредоносное ПО стало настолько популярным среди множества различных участников угроз, что это медленно стало собирательным названием для всех атак этого типа. Многие высококлассные сайты стали жертвами атак Magecart, и в октябре прошлого года никто иной, как ФБР, предупредил администраторов интернет-магазинов о рисках, связанных с Magecart.

Как и ожидалось, не все слушали, и Magecart не исчез за одну ночь. Напротив, сайты электронной коммерции продолжают страдать от инфекций Magecart, и специалисты по кибербезопасности, а также правоохранительные органы продолжают пытаться их предотвращать. Недавно ФБР выпустило еще одно предупреждение, на этот раз описывающее конкретный вектор атаки, используемый актерами Magecart.

Хакеры используют уязвимый плагин Magento для запуска атак Magecart

Чтобы внедрить вредоносный код в веб-сайт, хакерам необходимо каким-то образом поставить под угрозу безопасность цели, и ФБР, по-видимому, заметило некоторую тенденцию в их действиях. Согласно ZDNet, владельцам интернет-магазинов, которые используют старый плагин Magento под названием Magento Mass Import (или MAGMI), настоятельно рекомендуется сделать необходимый шаг и повысить безопасность своего веб-сайта.

В апреле 2017 года эксперты по безопасности обнаружили в MAGMI 0.7.22 уязвимость межсайтового скриптинга, которая позволяет хакерам получать доступ к файлам и внедрять вредоносный код на целевой веб-сайт. Уязвимость отслеживается как CVE-2017-7391 и, по-видимому, все еще присутствует на многих веб-сайтах. Согласно предупреждению ФБР, недавним атакам способствовал CVE-2017-7391. Как только хакеры внедряют свой код, вредоносная программа собирает финансовую информацию ничего не подозревающих покупателей, Base64 кодирует ее в файл JPG и отправляет злоумышленникам.

CVE-2017-7391 был исправлен некоторое время назад, и обновление MAGMI до версии 0.7.23 остановит этот конкретный вектор инфекции. В свое предупреждение федералы также включили показатели компрометации, которые администраторы могут использовать для повышения безопасности своих веб-сайтов. К сожалению, этого может быть недостаточно для обеспечения безопасности интернет-магазина на основе Magento.

Интернет-магазины по-прежнему используют Magento 1

Проблема больше, чем вы думаете, и чтобы понять, почему это так, нам нужно немного урока истории. Magento был первоначально разработан компанией под названием Varien, и он был впервые запущен в марте 2008 года. После нескольких задержек Magento 2.0, последний крупный релиз, появился на свет семь лет спустя, в ноябре 2015 года.

CVE-2017-7391, трехлетняя уязвимость, которая вызвала предупреждение ФБР, обнаружена в MAGMI, плагине, который работает только с Magento 1. Другими словами, если сайт использует MAGMI, он построен на довольно старой платформе, Более того, 30 июня 2020 года все версии Magento 1.x выйдут из строя и прекратят получать обновления безопасности.

Другими словами, после обновления своего плагина MAGMI администраторы, которые могут пострадать от этой атаки, должны также подумать о переносе своих магазинов на более современные и более безопасные платформы.