Zero
Gli hacker sono (ab)uso di patch vulnerabilità zero-day in circa 20 estensioni di Magento per impianto di carte di pagamento skimmer sui negozi online, secondo l’olandese esperto di sicurezza Willem de Groot.
Il ricercatore è traccia di questa recente campagna ma ha solo identificato due dei 20 estensioni che gli hacker stanno prendendo di mira.
Ora si chiede la più ampia infosec e sviluppo web community per aiutare l’identificazione degli altri 18 estensioni, in modo da poter avvisare gli sviluppatori e lo zero-giorni fissi.
Il ricercatore ha elencato una serie di percorsi URL attraverso il quale gli hacker hanno sfruttato il zero-giorni per ottenere appoggi su negozi di esecuzione del vulnerabili estensioni. La URL percorsi sono come segue:
POST /indice.php/advancedreports/grafico/tunnel/
POST /indice.php/aheadmetrics/auth/index/
POST /indice.php/ajax/Showroom/invia/
POST /indice.php/ajaxproducts/indice/index/
POST /indice.php/bssreorderproduct/elenco/aggiungere/
POST /indice.php/customgrid/indice/index/
POST /indice.php/customgrid/Blcg/Colonna/Renderer/indice/index/
POST /indice.php/customgrid/Blcg_Column_Renderer_index/index/
POST /indice.php/customgrid/indice/index/
POST /indice.php/emaildirect/abbandonato/ripristino/
POST /indice.php/freegift/carrello/gurlgift/
POST /indice.php/gwishlist/Gwishlist/updategwishlist/
POST /indice.php/layaway/vista/aggiungere/
POST /indice.php/madecache/vernice/esi/
POST /indice.php/minifilterproducts/indice/ajax/
POST /indice.php/multidealpro/indice/modificare/
POST /indice.php/netgocust/Gwishlist/updategwishlist/
POST /indice.php/prescrizione/Prescrizione/amendQuoteItemQty/
POST /indice.php/qquoteadv/download/downloadCustomOption/
POST /indice.php/ricompense/cliente/notifiche/unsubscribe/ [Alreadu identificato come “TBT_Rewards”]
POST /indice.php/ricompense/customer_notifications/unsubscribe/ [Alreadu identificato come “TBT_Rewards”]
POST /indice.php/ricompense/notifiche/unsubscribe/ [Alreadu identificato come “TBT_Rewards”]
POST /indice.php/simplebundle/Carrello/aggiungi/ [Già identificato come “Webcooking_SimpleBundle”]
POST /indice.php/tabshome/indice/ajax/
POST /indice.php/fornitori/carta di credito/prelievo/recensione/
POST /indice.php/fornitori/credit_withdraw/recensione/
POST /indice.php/fornitori/prelievo/recensione/
Webcooking, il creatore dei Webcooking_SimpleBundle Magento estensione, una delle due estensioni de Groot ha già individuato da nome, è già stato rilasciato un fix, ore dopo che il ricercatore ha raggiunto.
La seconda estensione identificato mediante il nome, era TBT_Rewards, che è stato abbandonato a pochi mesi fa, e che dovrebbe essere disinstallato da tutti i negozi, a causa dell’attuale rischio per la sicurezza.
Come in questo articolo le età, per una più accurata lista di interessati estensioni saranno tenuti up-to-date de Groot sito, qui.
Gli sviluppatori di estensioni che sono da biasimare
Secondo de Groot, tutto il giorno zero, che colpisce il 20 estensioni sono praticamente le stesse, ma semplicemente trovato in 20 luoghi diversi.
“Mentre le estensioni sono diversi, il metodo di attacco è lo stesso: PHP Oggetto di Iniezione (PDI),” de Groot ha detto in un rapporto tecnico pubblicato oggi.
Egli dice che gli attaccanti stanno abusando PHP unserialize() funzione per inserire codice malevolo all’interno della vittima sito.
Questo particolare tipo di attacco non è esattamente nuovo romanzo. La piattaforma Magento e-commerce di per sé era una volta colpiti da questo problema, che ha ricevuto il CVE-2016-4010 identificatore.
Magento team fisso di questa vulnerabilità, sostituendo il PHP unserialize() funzione con json_decode() nella patch SUPEE-8788, pubblicato nell’ottobre del 2016.
Ma secondo de Groot, molti gli sviluppatori di estensioni che non ha seguito il team Magento esempio e hanno lasciato le istanze di PHP unserialize() la funzione all’interno del loro codice, lasciando Magento store esposti a questo tipo di attacco, anche se applicato il SUPEE-8788 patch di anni prima.
“Core piattaforme tendono ad essere abbastanza buono, è solo il plugin che continuano a fare pasticci,”, ha detto Yonathan Klijnsma, una minaccia ricercatore presso RisqIQ e uno degli esperti che è stato il monitoraggio di questi tipo di attacchi al fianco di de Groot.
“Gli autori di Plugin non sempre hanno una mentalità di sicurezza per la scrittura di questi plugin, è più circa la funzionalità del plugin,” Klijnsma detto a ZDNet oggi.
Gli hacker sono la creazione di falsi moduli di pagamento
Il gruppo impiega questa collezione di Magento estensione zero-days è uno dei gruppi monitorati sotto il termine ombrello di Magecart.Magecart attacchi si sono verificati negli ultimi tre anni, ma si sono intensificati e cresciuta più audace di quest’anno, dopo alcuni attacchi impatto maggiore entità, come Ticketmaster, British Airways, e Newegg.
Mentre inizialmente c’era solo un Magecart gruppo dietro gli attacchi, diversi attori sono ora attivi utilizzando lo stesso modus operandi.
De Groot, dice che il gruppo dietro le estensioni di Magento zero-giorni della campagna è anche abbastanza intelligente. L’hacker non sono contenuto con l’iniezione di uno script pirata che ruba carta di pagamento dati da moduli di pagamento, come la maggior parte altri Magecart gruppi.
Nei casi In cui il proprietario del negozio gestisce i pagamenti con carta tramite fornitori esterni (come ad esempio PayPal o Skype) o non gestisce i pagamenti con carta a tutti, questo gruppo di reindirizzare i visitatori negozio di un falso modulo di checkout che hanno creato apposta.
Il gruppo si avvale di questo falso modulo di checkout per raccogliere i dati della carta di pagamento, di massimizzare i loro sforzi, anche in negozi che altri Magecart gruppi avrebbero considerato inutile.
RELATIVE CYBERSECURITY COPERTURA:
Zero-day nel popolare plugin per jQuery sfruttata per almeno tre anniWordPress team di lavoro su “cancellare le vecchie versioni esistenza su internet”diChrome, Edge, IE, Firefox, e Safari per disabilitare TLS TLS 1.0 e 1.1, nel 2020gli Inserzionisti possono tracciare gli utenti attraverso Internet tramite TLS Sessione di RipresaMicrosoft Windows vulnerabilità zero-day diffusi attraverso Twitter TechRepublicQuesti popolari telefoni Android è venuto con vulnerabilità pre-installato CNETFornitori di confermare i prodotti affetti da libssh bug come PoC codice viene visualizzato su GitHubOpen source di web hosting software compromesso con DDoS malware
Argomenti Correlati:
E-Commerce
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0