Attacker installerar e-skimmers Tack vare en treårig sårbarhet varnar FBI

Till skillnad från andra poster i cybersecurity-ordlistan för tekniska termer är ordet "e-skimmer" ganska enkelt att förklara. Precis som en fysisk kortskimmer skrapar bankkortdetaljer från en bankomat, stjäl en e-skimmer shoppers ekonomiska data från kassasidorna på e-handelswebbplatser. Men konstigt använder dock cybersecurity-proffs sällan ordet "e-skimmer" idag. De flesta av dessa attacker beskrivs nu med termen "Magecart", och det beror på att de flesta e-skimmers har installerats på onlinebutiker byggda med Magento, en öppen källkodsplattform för e-handelswebbplatser under de senaste åren.

Till att börja med var termen "Magecart" associerad med en enda grupp hackare som injicerade flera rader med kortstjällande JavaScript-kod i onlinebutikernas kassasidor, men senare blev skadlig programvara så populär bland så många olika hotaktörer, att det blev långsamt ett kollektivt namn för alla attacker av denna typ. Ganska många högprofilerade webbplatser blev offer för Magecart-attacker, och i oktober förra året varnade ingen annan än FBI nätbutikadministratörer om riskerna med Magecart.

Förutsägbart lyssnade inte alla och Magecart försvann inte över natten. Tvärtom, webbplatser med e-handel fortsätter att drabbas av Magecart-infektioner, och cybersäkerhetsspecialister, såväl som brottsbekämpande myndigheter, fortsätter att försöka förhindra dem. Nyligen utfärdade FBI ännu en varning, den här gången beskriver en viss attackvektor som används av Magecart-skådespelare.

Hackare använder ett sårbart Magento-plugin för att starta Magecart-attacker

För att injicera skadlig kod på en webbplats måste hackarna kompromissa med målsäkerheten på något sätt, och FBI har tydligen märkt lite av en trend i sina handlingar. Enligt ZDNet uppmanas ägare av onlinebutiker som använder ett gammalt Magento-plugin som heter Magento Mass Import (eller MAGMI) att ta nödvändiga steg och förbättra säkerheten på deras webbplats.

I april 2017 upptäckte säkerhetsexperter en skriptsäkerhet på olika platser i MAGMI 0.7.22, som låter hackare få åtkomst till filer och injicera skadlig kod på den riktade webbplatsen. Sårbarheten spåras som CVE-2017-7391, och den är uppenbarligen fortfarande kvar på många webbplatser. Enligt FBI: s varning underlättades en hel del nya attacker av CVE-2017-7391. När hackarna har injicerat sin kod, skrapar skadlig programvara intetanande köpares ekonomiska information, Base64-kodar den i en JPG-fil och skickar den till cyberbrottslingarna.

CVE-2017-7391 fixades för ett tag sedan, och uppdatering av MAGMI till version 0.7.23 kommer att stoppa denna infektionsvektor. I deras varning inkluderade feds också indikatorer på kompromisser, som administratörer kan använda för att förbättra säkerheten på sina webbplatser. Tyvärr kanske detta inte räcker till för att säkert säkra en Magento-baserad onlinebutik.

Onlinebutiker använder fortfarande Magento 1

Problemet är större än du kanske tror, och för att inse varför detta är fallet behöver vi lite av en historielektion. Magento utvecklades ursprungligen av ett företag som heter Varien och lanserade först i mars 2008. Efter en hel del förseningar såg Magento 2.0, den senaste stora utgåvan, dagens ljus sju år senare, i november 2015.

CVE-2017-7391, den tre år gamla sårbarheten som ledde till FBI-larmet, finns i MAGMI, ett plugin som bara fungerar med Magento 1. Med andra ord, om en webbplats använder MAGMI är den byggd på en ganska gammal plattform . Den 30 juni 2020 kommer alla Magento 1.x-versioner att nå slutet av livslängden och kommer att sluta ta emot säkerhetsuppdateringar.

Med andra ord, efter att de har uppdaterat sin MAGMI-plugin, bör administratörer som kan drabbas av denna attack också fundera på att migrera sina butiker till mer moderna och säkrare plattformar.