actores de amenazas se han dirigido una vez más la plataforma Magento. El propósito de la campaña es la plantación de skimmers de tarjetas de pago en tiendas en línea. De acuerdo con el investigador de seguridad Willem de Groot, Al menos 20 Magento extensiones han sido objeto de abuso debido a una serie de sin parchear las vulnerabilidades de día cero.
Esta no es la primera vez Groot destapa problemas graves de Magento. En septiembre, el investigador descubrió [wplinkpreview url =”https://sensorstechforum.com/magentocore-skimmer-infects-60-stores-per-day/”]la más exitosa campaña de desnatado, que gira alrededor del skimmer MagentoCore. El skimmer ya ha infectado 7,339 tiendas de Magento en el último 6 meses, convirtiéndose así en la campaña más agresiva descubierta hasta ahora.
2 de 20 Magento extensiones vulnerables identificados
En cuanto al caso actual, de Groot tiene éxito identificado 2 del 20 extensiones y está buscando ayuda de otros investigadores para descubrir el resto. Esto es necesario para que los defectos de día cero son parches. La buena noticia es que se ha proporcionado una serie de rutas de URL que han sido explotadas para comprometer las tiendas en línea que ejecuta las extensiones vulnerables.
Mientras que las extensiones difieren, el método de ataque es el mismo: PHP inyección de objetos(POI). Este ataque unserialize abusos vector de PHP() funcionar para inyectar su propio código PHP en el sitio. Con ese, que son capaces de modificar la base de datos o los archivos de Javascript. A partir de hoy, muchas aplicaciones populares de PHP todavía utilizan unserialize().
Parece que Magento reemplazó a la mayoría de las funciones vulnerables por json_decode() en el parche 8788. Desafortunadamente, muchos de sus extensiones populares no lo hizo, el investigador señaló en su puesto. Según lo explicado por Yonathan Klijnsma, investigador en RisqIQ y uno de los expertos que ha estado ayudando a de Groot, “plataformas centrales tienden a ser bastante bueno, es sólo los plugins que mantienen a echar a perder".
Las dos extensiones identificados son la extensión Webcooking_SimpleBundle Magento y TBT_Rewards. El desarrollador de la primera prórroga ya ha publicado una revisión. El segundo, sin embargo, parece haber sido abandonado hace un tiempo. Así, cualquier tienda en línea que tiene instalada esta extensión inmediatamente debe deshacerse de él.