Skupina Magecart uporablja ničelne dni v 20 razširitvah Magento

Po mnenju nizozemskega varnostnega strokovnjaka Willema de Groota hekerji (ab) uporabljajo nezakrpane ranljivosti ničelnega dne v približno 20 razširitvah Magento, da bi v spletne trgovine vgradili skimmerje plačilnih kartic.

Raziskovalec je spremljal to nedavno kampanjo, vendar je identificiral samo dve od 20 razširitev, na katere ciljajo hekerji.

Zdaj prosi širšo skupnost informacijske zaščite in spletnega razvijalca za pomoč pri prepoznavanju ostalih 18 razširitev, da lahko obvesti razvijalce in popravi ničelne dni.

Raziskovalec je naštel niz poti URL-jev, prek katerih so hekerji izkoriščali ničelne dni, da bi pridobili oporo v trgovinah, ki izvajajo ranljive razširitve. Poti URL so naslednje:

POST /index.php/advancedreports/chart/tunnel/
POST /index.php/aheadmetrics/auth/index/
POST /index.php/ajax/Showroom/submit/
POST /index.php/ajaxproducts/index/index/
POST /index.php/bssreorderproduct/list/add/
POST /index.php/customgrid/index/index/
POST /index.php/customgrid/Blcg/Column/Renderer/index/index/
POST /index.php/customgrid/Blcg_Column_Renderer_index/index/
POST /index.php/customgrid/index/index/
POST /index.php/emaildirect/abandoned/restore/
POST /index.php/freegift/cart/gurlgift/
POST /index.php/gwishlist/Gwishlist/updategwishlist/
POST /index.php/layaway/view/add/
POST /index.php/madecache/varnish/esi/
POST /index.php/minifilterproducts/index/ajax/
POST /index.php/multidealpro/index/edit/
POST /index.php/netgocust/Gwishlist/updategwishlist/
POST /index.php/prescription/Prescription/amendQuoteItemQty/
POST /index.php/qquoteadv/download/downloadCustomOption/
POST /index.php/rewards/customer/notifications/unsubscribe/ [Alreadu identified as "TBT_Rewards"]
POST /index.php/rewards/customer_notifications/unsubscribe/ [Alreadu identified as "TBT_Rewards"]
POST /index.php/rewards/notifications/unsubscribe/ [Alreadu identified as "TBT_Rewards"]
POST /index.php/simplebundle/Cart/add/ [Already identified as "Webcooking_SimpleBundle"]
POST /index.php/tabshome/index/ajax/
POST /index.php/vendors/credit/withdraw/review/
POST /index.php/vendors/credit_withdraw/review/
POST /index.php/vendors/withdraw/review/

Webcooking, izdelovalec razširitve Webcooking_SimpleBundle Magento, ene od dveh razširitev de Groot se je že identificiral po imenu, je že poslal popravek, ure po tem, ko je raziskovalec dosegel ven.

Druga razširitev, identificirana z imenom, je bila TBT_Rewards, ki je bila opuščena pred nekaj meseci in jo je treba zaradi trenutnega varnostnega tveganja odstraniti iz vseh trgovin.

Ker se ta članek stara, bo natančnejši seznam prizadetih razširitev posodobljen na spletnem mestu de Groot, tukaj.

Krivi so razvijalci razširitev

Po de Grootu so vsi ničelni dan, ki vplivajo na 20 razširitev, praktično enaki, le da jih najdemo na 20 različnih mestih.

"Čeprav se razširitve razlikujejo, je metoda napada enaka: Vbrizgavanje predmetov PHP (POI)," je dejal de Groot v tehničnem poročilu, objavljenem danes.

Pravi, da napadalci zlorabljajo funkcijo PHP unserialize() za vstavljanje zlonamerne kode na stran žrtve.

Ta posebna vrsta napada ni ravno nova ali nova. Samo platformo za e-trgovino Magento je nekoč prizadela ista težava, ki je prejela CVE-2016-4010 identifikator.

Ekipa Magento je odpravila to ranljivost tako, da je funkcijo PHP unserialize() v popravku zamenjala z json_decode(). SUPEE-8788, ki je izšel oktobra 2016.

Toda po besedah ​​de Groota številni razvijalci razširitev niso sledili zgledu ekipe Magento in so pustili primerke PHP funkcijo unserialize() znotraj njihove kode, zaradi česar so trgovine Magento izpostavljene temu napadu, tudi če so uporabile leta popravkov SUPEE-8788 prej.

"Osnovne platforme so ponavadi precej dobre, le vtičniki so tisti, ki kar naprej zamotijo," je dejal Yonathan Klijnsma, raziskovalec groženj pri RiskIQ in eden od strokovnjakov, ki spremlja te vrste napadov skupaj z de Groot.

"Pisci vtičnikov nimajo vedno varnostne miselnosti za pisanje teh vtičnikov, bolj gre za funkcionalnost njihovega vtičnika," je Klijnsma danes povedal za ZDNet.

Hekerji ustvarjajo lažne obrazce za nakup

Skupina, ki uporablja to zbirko ničelnih dni razširitve Magento, je ena od skupin, ki jih spremlja krovni izraz Magecart. Napadi Magecart se dogajajo zadnja tri leta, vendar so se letos okrepili in postali drznejši, potem ko so nekateri napadi prizadeli večje entitete, kot je npr. Ticketmaster, British Airways, in Newegg.

Medtem ko je na začetku za napadi stala le ena skupina Magecart, je zdaj aktivnih več različnih akterjev, ki uporabljajo isti način delovanja.

De Groot pravi, da je tudi skupina, ki stoji za kampanjo zero-days razširitev Magento, precej pametna. Hekerji niso zadovoljni z vbrizgavanjem skripte v hacked, ki ukrade podatke o plačilni kartici iz obrazcev za nakup, kot večina drugih skupin Magecart.

V primerih, ko lastnik trgovine izvaja kartična plačila prek zunanjih ponudnikov (kot je PayPal ali Skype) ali ne če sploh upravlja s kartičnimi plačili, bo ta skupina obiskovalce trgovine preusmerila na lažni obrazec za nakup, na katerem so jih ustvarili namen.

Skupina uporablja ta lažni obrazec za odjavo za zbiranje podatkov o plačilnih karticah, s čimer poveča svoja prizadevanja, tudi v trgovinah, ki bi jih druge skupine Magecart smatrale za ničvredne.

POVEZANA KITERSKA VARNOST:

• Zero-day v priljubljenem vtičniku jQuery, ki se aktivno uporablja vsaj tri leta
• Ekipa WordPressa dela na "brisanju starejših različic iz interneta"
• Chrome, Edge, IE, Firefox in Safari bodo leta 2020 onemogočili TLS 1.0 in TLS 1.1
• Oglaševalci lahko sledijo uporabnikom po internetu prek TLS Session Resumption
• Microsoft Windows zero-day ranljivost, razkrita prek Twitterja TechRepublic
• Ti priljubljeni telefoni Android so imeli vnaprej nameščene ranljivosti CNET
• Prodajalci potrjujejo izdelke, na katere vpliva napaka libssh, ko se koda PoC pojavi na GitHubu
• Odprtokodna programska oprema za spletno gostovanje, ogrožena z zlonamerno programsko opremo DDoS