Billede: Sangvinsk Sikkerhed
To hacker grupper, der er ansvarlig for en enorm stigning i antallet af hackede Magento 2.x shopping sites, ifølge Willem de Groot, grundlægger af Sangvinsk Sikkerhed.
Dette er nu tredje måned i træk, hvor antallet af hackede Magento 2.x steder er fordoblet, efter at det tidligere fordoblet fra Marts til April, og igen fra April til Maj.
Spike efter PRODSECBUG-2198 offentliggørelse
I hjertet af disse pigge i hackede hjemmesider er “PRODSECBUG-2198,” som er kodenavnet for en sikkerheds fejl i Magento 2.x content management system (CMS), der er de mest populære CMS til opbygning af self-hosted online butikker.
Sårbarheden er en SQL injection fejl i Magento CMS, der kan udnyttes af eksterne, ikke-autoriseret angribere at overtage unpatched, sårbare steder.
Magento team rettet fejlen i slutningen af Marts, men tingene går ikke som planlagt, da angreb, der udnytter denne fejl gang på blot 16 timer senere, ifølge de Groot.
Tingene tog en drejning til det værre, efter at Ambionics, det selskab, der opdagede fejlen, også offentliggjort proof-of-concept kode, bare to dage efter Magento patch, uden at give store ejere nok tid til at lappe.
Jeg føler, at det er ikke rigtig professionel til at frigive et værktøj til at udnytte det kun 2 dage efter Magento udgivelse, og på en fredag.
— Laurent Clouet (@laurent35240) 30 Marts 2019
Efter at PRODSECBUG-2198 angreb voldsomt, fører til en stigning i antallet af hackede Magento 2.x sites, med hackere plante malware på kompromitterede butikker, så de kunne stjæle betalingskort data fra læsere, mens de var køber nye produkter.
To grupper, som er ansvarlige for 90% af de hackede websteder
“Jeg kører en daglig scanning på toppen millioner steder og check for mistænkelig aktivitet og kontrolleret, malware,” de Groot fortalte ZDNet i en e-mail i dag om, hvordan han samlet sine data. “Min grafer er baseret på verificerede malware.”
Men mens der er flere grupper, hacking og plante malware på Magento butikker, de Groot siger, at den seneste stigning er næsten udelukkende drevet af den aktivitet, der er i kun to grupper.
“To aktører synes er ansvarlig,” forskeren fortalte ZDNet, “man har 70% og de andre 20% af overtrædelser.
“Den større, der også var bag Puma Australien hack og understøtter inddragelse af 50+ global betalingstjenester. Denne automatisering gør ham/hende til hurtigt at skalere skimme operationer,” de Groot sagde.
“Og når de er i, det er svært at slippe af med disse hulskeer,” forskeren tilføjet separat på Twitter. “20% af de handlende få inficeret igen, typisk inden for to uger.”
Udover at anvende opdatering af Magento versioner 2.3.1, 2.2.8 og 2.1.17, som indeholder den rette til dette sikkerhedshul, de Groot har også udgivet flere tips på Sangvinsk Sikkerhed websted om, hvordan til at håndtere hackede websteder, eller hvordan til at træffe yderligere foranstaltninger til beskyttelse af at sikre Magento butikker.
Relaterede malware og it-kriminalitet dækning:
Gamle ICEFOG APT malware opdaget igen i nye bølge af attacksFIN8 hackere vender tilbage efter to år med angreb mod gæstfrihed sectorGermany: Bagdør, der findes i fire smartphone-modeller; 20.000 brugere infectedMicrosoft advarer om e-mail-spam kampagne misbruger Kontor vulnerability8 år senere, er sagen mod Mariposa malware banden bevæger sig fremad i USA botnet er brute-forcing over 1,5 millioner RDP-servere over verdenden dark web er mindre, og kan være mindre farligt, end vi tror, TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre