Nul
Hackers zijn (ab)het gebruik van niet gecorrigeerde zero-day kwetsbaarheden in ongeveer 20 Magento extensies te planten creditcard skimmers op online winkels, volgens de nederlandse security expert Willem de Groot.
De onderzoeker is het bijhouden van deze recente campagne, maar heeft alleen aangegeven dat twee van de 20-extensies die hackers richten.
Hij is nu de vraag aan de bredere infosec en web ontwikkeling van de gemeenschap voor hulp bij het identificeren van de 18 andere extensies, zodat hij kan meedelen aan ontwikkelaars en de zero-dagen vast.
De onderzoeker heeft vermeld een reeks URL paden door die hackers zijn het benutten van de zero-days te krijgen voetsteunen op de winkels uitvoeren van de kwetsbare extensies. De URL paden zijn als volgt:
BERICHT /index.php/advancedreports/grafiek/tunnel/
BERICHT /index.php/aheadmetrics/auth/index/
BERICHT /index.php/ajax/Showroom/submit/
BERICHT /index.php/ajaxproducts/index/index/
BERICHT /index.php/bssreorderproduct/lijst/toevoegen/
BERICHT /index.php/customgrid/index/index/
BERICHT /index.php/customgrid/Blcg/Column/Renderer/index/index/
BERICHT /index.php/customgrid/Blcg_Column_Renderer_index/index/
BERICHT /index.php/customgrid/index/index/
BERICHT /index.php/emaildirect/verlaten/herstellen/
BERICHT /index.php/freegift/winkelmandje/gurlgift/
BERICHT /index.php/gwishlist/Gwishlist/updategwishlist/
BERICHT /index.php/layaway/bekijken/toevoegen/
BERICHT /index.php/madecache/lak/esi/
BERICHT /index.php/minifilterproducts/index/ajax/
BERICHT /index.php/multidealpro/index/bewerken/
BERICHT /index.php/netgocust/Gwishlist/updategwishlist/
BERICHT /index.php/recept/Doktersrecept/amendQuoteItemQty/
BERICHT /index.php/qquoteadv/download/downloadCustomOption/
BERICHT /index.php/rewards/klant/meldingen/abonnement/ [Alreadu aangeduid als ‘TBT_Rewards”]
BERICHT /index.php/rewards/customer_notifications/abonnement/ [Alreadu aangeduid als ‘TBT_Rewards”]
BERICHT /index.php/rewards/meldingen/abonnement/ [Alreadu aangeduid als ‘TBT_Rewards”]
BERICHT /index.php/simplebundle/Winkelwagen/add/ [Al aangewezen als “Webcooking_SimpleBundle”]
BERICHT /index.php/tabshome/index/ajax/
BERICHT /index.php/leveranciers/credit/trekken/review/
BERICHT /index.php/leveranciers/credit_withdraw/review/
BERICHT /index.php/leveranciers/trekken/review/
Webcooking, de maker van de Webcooking_SimpleBundle Magento extensie, een van de twee uitbreidingen de Groot heeft al geïdentificeerd door de naam, al heeft verzonden uit een fix, uur na de onderzoeker bereikt.
De tweede uitbreiding geïdentificeerd door de naam werd TBT_Rewards, dat werd afgezien van een paar maanden terug, en dat moet worden verwijderd van alle winkels te wijten aan de huidige veiligheids risico.
Als dit artikel leeftijden, een meer nauwkeurige lijst van de betrokken extensies wordt up-to-date over de Groot ‘ s website, hier.
Extensie ontwikkelaars zijn aan de schuld van
Volgens de Groot, de zero-day invloed zijn op de 20-extensies zijn praktisch hetzelfde, maar alleen te vinden in 20 verschillende plaatsen.
“Terwijl de extensies verschillen, de aanval methode is hetzelfde: PHP Object Injectie (NP),” de Groot zei in een technisch rapport dat vandaag is gepubliceerd.
Hij zegt dat kwaadwillenden misbruik maken van de PHP unserialize() de functie voor het invoegen van een kwaadaardige code in de slachtoffer site.
Dit specifieke type van de aanval is niet echt nieuw of roman. Het Magento e-commerce platform zelf was ooit beïnvloed door deze zelfde probleem, die heeft ontvangen van de CVE-2016-4010-id.
Het Magento team vast van dit beveiligingslek door het vervangen van de PHP unserialize() functie met json_decode() in de patch SUPEE-8788, uitgebracht in oktober 2016.
Maar volgens de Groot, veel extensie ontwikkelaars niet volgen van de Magento team en hebben links exemplaren van de PHP unserialize() functie binnen hun code, waardoor Magento winkels blootgesteld aan deze aanval, zelfs als ze worden toegepast op de SUPEE-8788 patch in de jaren daarvoor.
“Kern platformen hebben de neiging om te worden vrij goed, het is alleen de plugins die houd omhoog het knoeien van,” zei Yonathan jetta klijnsma., een bedreiging onderzoeker bij RisqIQ en een van de deskundigen die het bijhouden van dit soort aanvallen langs de Groot.
“Plugin schrijvers niet altijd een zekerheid mindset voor het schrijven van deze plugins, het gaat meer om de functionaliteit van hun plugin,” zei jetta klijnsma. ZDNet vandaag.
Hackers zijn het creëren van nep-kassa formulieren
De groep met deze collectie van Magento extensie zero-days, is één van de groepen volgen onder de overkoepelende term van Magecart.Magecart aanvallen hebben plaatsgevonden in de afgelopen drie jaar, maar ze hebben versterkt en groeide bolder van dit jaar na een aantal aanvallen beïnvloed grotere entiteiten, zoals Ticketmaster, British Airways, en Uitvoering.
Terwijl aanvankelijk was er slechts één Magecart groep achter aanvallen, verschillende actoren zijn nu actief met dezelfde modus operandi.
De Groot zegt dat de groep achter de Magento extensies zero-dagen campagne is ook heel slim. De hackers zijn niet content met het injecteren van een script op gehackte die steelt creditcard gegevens uit de kassa vormen, net als de meeste andere Magecart groepen.
In gevallen waar de eigenaar van de winkel handgrepen card betalingen via externe aanbieders (zoals PayPal of Skype) of niet te behandelen card betalingen bij deze groep zal omleiden store bezoekers om een nep-checkout-vorm die zij hebben gemaakt op doel.
De groep gebruikt deze nep-kassa formulier om de betaling te verzamelen card gegevens, het maximaliseren van hun inspanningen, zelfs bij winkels die andere Magecart groepen zou hebben beschouwd als waardeloos.
VERWANTE CYBERSECURITY DEKKING:
Zero-day in de populaire jQuery plugin actief misbruikt voor ten minste drie jaarWordPress team werken aan “het afvegen van oudere versies van het bestaan op het internet,”Chrome Rand, IE, Firefox, en Safari uit te schakelen TLS 1.0 en TLS 1.1 in 2020Adverteerders kunnen bijhouden van gebruikers via het Internet via TLS-Sessie HervattingMicrosoft Windows zero-day kwetsbaarheid bekendgemaakt via Twitter TechRepublicDeze populaire Android-telefoons kwam met kwetsbaarheden pre-geïnstalleerd CNETLeveranciers bevestigen producten die zijn aangetast door libssh bug als PoC-code verschijnt op GitHubOpen source web hosting software in het gedrang komt met DDoS-malware
Verwante Onderwerpen:
E-Commerce
Beveiliging TV
Data Management
CXO
Datacenters
0