Noll
Hackare (ab)med okorrigerad zero-day sårbarheter i cirka 20 Magento tillägg till anläggningen betalkort fiskknivar på butiker på nätet, enligt holländska säkerhetsexpert Willem de Groot.
Forskaren har följt den här senaste kampanj, men har bara identifierat två av de 20 tillägg som hackare riktar.
Han ber nu större informationssäkerhet och webbutveckling samhället för att hjälpa till att identifiera de övriga 18 tillägg, så att han kan anmäla utvecklare och har noll dagars fasta.
Forskaren har listat en rad URL vägar genom vilken hackare har att utnyttja noll-dagar för att få fäste på butiker som kör utsatta tillägg. URL vägar är som följer:
POST /index.php/advancedreports/diagram/tunnel/
POST /index.php/aheadmetrics/auth/index/
POST /index.php/ajax/Showroom/skicka/
POST /index.php/ajaxproducts/index/index/
POST /index.php/bssreorderproduct/list/add/
POST /index.php/customgrid/index/index/
POST /index.php/customgrid/Blcg/Kolumn/Renderer/index/index/
POST /index.php/customgrid/Blcg_Column_Renderer_index/index/
POST /index.php/customgrid/index/index/
POST /index.php/emaildirect/övergett/återställa/
POST /index.php/freegift/cart/gurlgift/
POST /index.php/gwishlist/Gwishlist/updategwishlist/
POST /index.php/layaway/visa/lägg till/
POST /index.php/madecache/lack/esi/
POST /index.php/minifilterproducts/index/ajax/
POST /index.php/multidealpro/index/redigera/
POST /index.php/netgocust/Gwishlist/updategwishlist/
POST /index.php/recept/Recept/amendQuoteItemQty/
POST /index.php/qquoteadv/download/downloadCustomOption/
POST /index.php/belöningar/kund/anmälningar/bevaka/ [Alreadu identifieras som “TBT_Rewards”]
POST /index.php/belöningar/customer_notifications/bevaka/ [Alreadu identifieras som “TBT_Rewards”]
POST /index.php/belöningar/anmälningar/bevaka/ [Alreadu identifieras som “TBT_Rewards”]
POST /index.php/simplebundle/Cart/add/ [som Redan identifierats som “Webcooking_SimpleBundle”]
POST /index.php/tabshome/index/ajax/
POST /index.php/säljare, – /kredit – /uttag/review/
POST /index.php/leverantörer/credit_withdraw/review/
POST /index.php/leverantörer/uttag/review/
Webcooking, tillverkare av Webcooking_SimpleBundle Magento förlängning, en av de två förlängningar de Groot har redan identifierade med namn, har redan skickats ut en fix, timmar efter att forskaren har nått ut.
Den andra förlängningen identifieras genom namn var TBT_Rewards, som har övergivits ett par månader tillbaka, och som bör avinstalleras från alla butiker på grund av den nuvarande säkerhetsrisk.
Eftersom denna artikel åldrar, en mer exakt lista över de aktuella tilläggen kommer att hållas up-to-date på de Groot: s hemsida, här.
Förlängning utvecklare är att skylla
Enligt de Groot, alla noll-dag påverkar den 20 extensions är praktiskt taget de samma men bara finns i 20 olika platser.
“Även tillägg varierar, attack-metoden är den samma: PHP Injektion (POI),” de Groot sade i en teknisk rapport som publiceras idag.
Han säger angripare är att missbruka PHP unserialize() funktionen för att infoga skadlig kod i offrets sida.
Denna typ av attack är inte precis nya. Magento e-commerce-plattformen i sig var en gång drabbats av just denna fråga, som har fått den CVE-2016-4010 identifierare.
Magento team fast denna sårbarhet genom att ersätta PHP unserialize () – funktion med json_decode() i patch SUPEE-8788, som släpptes i oktober 2016.
Men enligt de Groot, många förlängning utvecklare inte följa Magento team exempel och har kvar instanser av PHP unserialize () – funktionen inne i deras kod, vilket Magento-butiker som utsätts för denna attack, även om de tillämpade SUPEE-8788 patch år innan.
“Core-plattformar tenderar att vara ganska bra, det är bara de plugins som håller på att jävlas, säger Yonathan Klijnsma, ett hot forskare vid RisqIQ och en av de experter som har varit att spåra dessa typer av attacker tillsammans med de Groot.
“Plugin författare inte alltid ha ett säkerhetstänk för att skriva dessa plugins, det handlar mer om funktionaliteten i deras plugin,” Klijnsma berättade ZDNet idag.
Hackare är att skapa falska blanketter kassan
Koncernen använder sig av denna samling av Magento förlängning zero-days är en av de grupper som spåras under samlingsnamnet av Magecart.Magecart attacker har skett under de senaste tre åren, men de har intensifierats och växte djärvare i år efter några attacker negativt större enheter, såsom Arenor, British Airways och Newegg.
Även om det i början fanns det bara en Magecart gruppen bakom attackerna, flera olika aktörer arbetar nu aktivt med samma modus operandi.
De Groot, säger gruppen bakom Magento tillägg noll-dagar-kampanjen är också ganska smart. Hackarna inte nöjda med att injicera ett skript på den hackade som stjäl betalkort data från kassan former, som de flesta andra Magecart grupper.
I de fall där den store ägaren hanterar kortbetalningar via externa leverantörer (till exempel PayPal eller Skype) eller inte hanterar betalningar med kort på alla, denna grupp kommer att omdirigera butik besökarna till en falsk kassan form som de skapat syftet.
Koncernen använder denna falska kassan formulär för att samla in information om betalkort, maximera sina insatser, även om butiker som andra Magecart grupper skulle ha betraktas som värdelösa.
RELATERADE IT-SÄKERHET TÄCKNING:
Zero-day i populära jQuery plugin aktivt utnyttjas för minst tre årWordPress team arbetar på “torka äldre versioner från existens på internet”Chrome, Edge, IE, Firefox, och Safari för att inaktivera TLS 1.0 och TLS 1.1 år 2020Annonsörer kan spåra användare över Internet via TLS-Session ÅterupptagandeMicrosoft Windows noll-dag sårbarhet lämnas ut via Twitter TechRepublicDessa populära Android-telefoner kom med sårbarheter förinstallerade CNETLeverantörer bekräfta produkter påverkas av libssh bugg som PoC kod som dyker upp på GitHubOpen source web hosting programvara kompromissat med DDoS-malware
Relaterade Ämnen:
E-Handel
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0