Nul
Hackere er (ab)ved hjælp af unpatched zero-day-sårbarheder i ca 20 Magento extensions til at plante betalingskort forplove på online-butikker, i henhold til hollandsk sikkerhedsekspert Willem de Groot.
Forskeren har fulgt den seneste kampagne, men har kun identificeret to af de 20 udvidelser, at hackere er rettet mod.
Han er nu beder den bredere infosec og web-udvikling samfund til at hjælpe med at identificere de øvrige 18 extensions, så han kan underrette udviklere og har nul-dage fast.
Forskeren har opstillet en række URL stier, hvorigennem hackere har været at udnytte den nul-dage til at få fodfæste på butikker, der kører sårbare udvidelser. URL stier er som følger:
INDLÆG /index.php/advancedreports/chart/tunnel/
INDLÆG /index.php/aheadmetrics/auth/indeks/
INDLÆG /index.php/ajax/Showroom/submit/
INDLÆG /index.php/ajaxproducts/index/index/
INDLÆG /index.php/bssreorderproduct/liste/tilføj/
INDLÆG /index.php/customgrid/index/index/
INDLÆG /index.php/customgrid/Blcg/Kolonne/Rendering/index/index/
INDLÆG /index.php/customgrid/Blcg_Column_Renderer_index/indeks/
INDLÆG /index.php/customgrid/index/index/
INDLÆG /index.php/emaildirect/forladt/restore/
INDLÆG /index.php/freegift/cart/gurlgift/
INDLÆG /index.php/gwishlist/Gwishlist/updategwishlist/
INDLÆG /index.php/layaway/view/tilføj/
INDLÆG /index.php/madecache/lak/esi/
INDLÆG /index.php/minifilterproducts/index/ajax/
INDLÆG /index.php/multidealpro/index/redigere/
INDLÆG /index.php/netgocust/Gwishlist/updategwishlist/
INDLÆG /index.php/recept/Recept/amendQuoteItemQty/
INDLÆG /index.php/qquoteadv/download/downloadCustomOption/
INDLÆG /index.php/rewards/kunde/anmeldelser/afmeld/ [Alreadu identificeret som “TBT_Rewards”]
INDLÆG /index.php/rewards/customer_notifications/afmeld/ [Alreadu identificeret som “TBT_Rewards”]
INDLÆG /index.php/rewards/anmeldelser/afmeld/ [Alreadu identificeret som “TBT_Rewards”]
INDLÆG /index.php/simplebundle/Cart/add/ [der Allerede er identificeret som “Webcooking_SimpleBundle”]
INDLÆG /index.php/tabshome/index/ajax/
INDLÆG /index.php/leverandører/kredit/trække/review/
INDLÆG /index.php/leverandører/credit_withdraw/review/
INDLÆG /index.php/leverandører/trække/review/
Webcooking, maker af Webcooking_SimpleBundle Magento extension, en af de to udvidelser de Groot har allerede identificeret ved navn, har allerede afsendt en rettelse, timer efter den forsker, der er nået ud.
Den anden udvidelse, der er identificeret ved navn, var TBT_Rewards, som er blevet opgivet for et par måneder tilbage, og som skal fjernes fra alle de butikker, der på grund af den nuværende sikkerhedsrisiko.
Som denne artikel aldre, en mere præcis liste af berørte udvidelser vil blive holdt up-to-date på de Groot ‘ s hjemmeside, her.
Udvidelse udviklere har skylden
Ifølge de Groot, alle nul-dag, der påvirker den 20 extensions er stort set de samme, men blot findes i 20 forskellige steder.
“Mens udvidelser er forskellige, angreb metoden er den samme: PHP Objekt Injektion (POI),” de Groot sagde i en teknisk rapport, der blev offentliggjort i dag.
Han siger, at angriberne er misbruger PHP unserialize() funktionen til at indsætte skadelig kode inde ofrets hjemmeside.
Netop denne type angreb er ikke ligefrem nye eller roman. Magento e-handel platform selv engang var berørt af denne meget samme problem, som har fået den CVE-2016-4010-id.
Magento hold fast denne svaghed ved at erstatte PHP unserialize() funktion med json_decode() i patch SUPEE-8788, udgivet i oktober 2016.
Men ifølge de Groot, mange forlængelse udviklere ikke følge Magento team ‘ s eksempel, og har forladt tilfælde af PHP unserialize() funktion inde i deres kode, der forlader Magento butikker udsat for angreb, selv om de anvendte SUPEE-8788 patch år før.
“Core platforme har en tendens til at være temmelig godt, det er bare de plugins, at holde rode op,” sagde Yonathan Klijnsma, en trussel, forsker ved RisqIQ og en af de eksperter, der har været at spore disse typer af angreb sammen med de Groot.
“Plugin forfattere ikke altid har en sikkerhed tankegang for at skrive disse plugins, det er mere om funktionaliteten af deres plugin,” Klijnsma fortalte ZDNet i dag.
Hackere er at skabe falske former checkout
Den gruppe, der anvender denne samling af Magento extension nul-dage er en af de grupper, der spores under paraplybetegnelse for Magecart.Magecart angreb har været tilfældet i de seneste tre år, men de har intensiveret, og voksede federe i år, og efter nogle angreb påvirket større enheder, såsom Ticketmaster, British Airways, og Newegg.
Mens det i begyndelsen var der kun én Magecart gruppen bag angreb, flere forskellige aktører er nu aktiv med samme modus operandi.
De Groot siger gruppen bag Magento extensions nul-dage-kampagne er også ganske smart. Hackere er ikke tilfreds med at indsprøjte et script på hacket, der stjæler betalingskort data fra kassen former, som de fleste andre Magecart grupper.
I de tilfælde, hvor butiksejeren håndterer kortbetalinger via eksterne udbydere (såsom PayPal eller Skype) eller ikke håndterer kortbetalinger på alle, denne gruppe vil omdirigere butik besøgende på en falsk kassen form, at de er oprettet på formål.
Gruppen bruger denne falske kassen formular til at indsamle betalingskortoplysninger, at maksimere deres indsats, selv på butikker, som er med andre Magecart grupper ville have betragtet som værdiløs.
RELATEREDE CYBERSECURITY DÆKNING:
Nul-dag i populære jQuery plugin aktivt udnyttes i mindst tre årWordPress team arbejder på at “tørre ældre versioner fra eksistens på internettet”Chrome, Edge, IE, Firefox, og Safari for at deaktivere TLS 1.0 og TLS 1.1 i 2020Annoncører kan spore brugere på tværs af Internettet via TLS-Session GenoptagelseMicrosoft Windows nul-dags sårbarhed offentliggøres via Twitter TechRepublicDisse populære Android telefoner der kom med sårbarheder pre-installeret CNETLeverandører bekræfte produkter, der påvirkes af libssh fejl som PoC kode dukker op på GitHubOpen source web-hosting software på kompromis med DDoS-malware
Relaterede Emner:
E-Handel
Sikkerhed-TV
Data Management
CXO
Datacentre
0