Threat acteurs hebben wederom gericht op de Magento platform. Het doel van de campagne is het planten betaalkaart skimmers op online winkels. Volgens security-onderzoeker Willem de Groot, minstens 20 Magento extensies zijn misbruikt als gevolg van een aantal ongepatchte zero-day kwetsbaarheden.
Dit is niet de eerste keer dat Groot onthult ernstige Magento kwesties. In september, de onderzoeker ontdekt [wplinkpreview url =”https://sensorstechforum.com/magentocore-skimmer-infects-60-stores-per-day/”]de meest succesvolle skimming campagne, draait om de MagentoCore skimmer. De skimmer heeft reeds besmet 7,339 Magento winkels in de laatste 6 maanden, daarmee de meest agressieve campagne ontdekt tot nu toe.
2 uit 20 Magento Kwetsbare Extensions Identified
Voor het onderhavige geval, de Groot heeft met succes geïdentificeerd 2 van de 20 extensies en hulp van collega-onderzoekers op zoek naar de rest te ontdekken. Dit is nodig, zodat de zero-day fouten gepatcht. Het goede nieuws is dat hij een reeks URL paden die zijn benut om online winkels compromis uitvoeren van de kwetsbare extensies heeft verstrekt.
Terwijl de extensies verschillen, de aanval is hetzelfde: PHP Object Injection(POI). Dit aanvalsvector misbruik PHP unserialize() functioneren om hun eigen PHP-code te injecteren in de site. Met dat, ze zijn in staat om de database of een JavaScript-bestanden wijzigen. Vanaf vandaag, veel populaire PHP-applicaties nog steeds gebruik unserialize().
Het lijkt erop dat Magento vervangen door het grootste deel van de kwetsbare functies door json_decode() patch 8788. Helaas, veel van zijn populaire extensies niet, de onderzoeker opgemerkt in zijn post. Zoals door Yonathan Klijnsma, onderzoeker bij RisqIQ en een van de deskundigen die heeft geholpen de Groot, “kernplatforms neiging om behoorlijk goed te zijn, het is gewoon de plugins die houden verprutsen".
De twee geïdentificeerde verlengingen zijn Webcooking_SimpleBundle Magento extensie en TBT_Rewards. De ontwikkelaar van de eerste uitbreidingen heeft al een fix uitgebracht. De tweede, echter, lijkt te zijn een tijdje geleden verlaten. Dus, een online winkel die deze extensie geïnstalleerd moet onmiddellijk kwijt te raken.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: