En az yedi hack grubu, Magento 2 web sitelerini hedefleyen 'Trojanorders' saldırılarında büyük bir artışın arkasında, tehdit aktörlerinin savunmasız sunuculardan ödün vermesine izin veren bir güvenlik açığından yararlanıyor.
Web sitesi güvenlik firması Sansec, Magento 2 web sitelerinin neredeyse% 40'ının saldırılar tarafından hedeflendiği ve hack gruplarının enfekte olmuş bir sitenin kontrolü üzerinden birbirleriyle savaştığı konusunda uyardı.
Bu saldırılar, bir çevrimiçi mağazanın web sitesine kötü niyetli JavaScript kodu enjekte etmek için kullanılmaktadır, bu da yoğun bir Kara Cuma ve Siber Pazartesi döneminde önemli iş kesintisine ve büyük müşteri kredi kartı hırsızlığına neden olabilir.
Çevrimiçi mağazalar en kritik ve eşzamanlı olarak en savunmasız zamanda olduklarında Noel'e doğru ilerlerken eğilimin devam etmesi bekleniyor.
Trojanorders, kritik Magento 2 CVE-2022-24086 güvenlik açığından yararlanan bir saldırının adıdır, bu da kimlik doğrulanmamış saldırganların kod yürütmesine ve eşleştirilmemiş web sitelerine sıçanları (uzaktan erişim truva atları) enjekte etmesine izin verir.
Adobe Sabit CVE-2022-24086 Şubat 2022'de, ancak Sansec birçok Magento sitesinin hala yamalanması gerektiğini söylüyor.
E -ticaret siber güvenlik firması Sansec'in yeni bir raporu, "Sansec, tüm Magento ve Adobe Ticaret mağazalarının en az üçte birinin şimdiye kadar yamalı olmadığını tahmin ediyor."
Truva atak saldırıları yaparken, bilgisayar korsanları genellikle hedef web sitesinde bir hesap oluşturur ve ad, KDV veya diğer alanlarda kötü amaçlı şablon kodu içeren bir sipariş yerleştirir.
Örneğin, yukarıdaki saldırı, Sitedeki 'Health_check.php' dosyasının bir kopyasını enjekte edecektir ve POST istekleri aracılığıyla gönderilen komutları çalıştırabilen bir PHP arka kapısı içerir.
Web sitesinde bir dayanak kazandıktan sonra, saldırganlar kalıcı erişim ve daha karmaşık eylemler gerçekleştirme yeteneği oluşturmak için bir uzaktan erişim truva atı kurarlar.
Sansec tarafından gözlemlenen birçok durumda, saldırganlar, başka bir hacker'ın siteye zaten enfekte olup olmadığını belirlemek için uzlaşma üzerine 'Health_check.php' varlığı için taradılar ve eğer öyleyse dosyayı kendi arka kapılarıyla değiştirdiler.
Saldırganlar nihayetinde siteyi, mağazadan ürün satın alırken müşterilerin bilgilerini ve kredi kartı numaralarını çalan kötü amaçlı JavaScript'i içerecek şekilde değiştirir.
Sansec'in analistleri, bu kırılganlığı hedefleyen saldırılarda bir artış görmemizin birçok nedeni olduğuna inanıyor.
Birincisi, yamalar mevcut hale geldikten on ay sonra bile çok sayıda Magento 2 alanı bu saldırılara karşı savunmasız kalır.
İkincisi, POC (Kavram Kanıtı) istismarları uzun zamandır mevcuttur, bu da istismar kit yazarlarının düşük vasıflı hackerlere satarak araçlarına ve kârlarına dahil etmelerini sağlar.
Bu Magento istismarları o kadar bol ki, 2.500 $ 'a kadar düşük satılıyorlarken, 2022'nin başlarında 20.000 ila 30.000 $ arasında.
Son olarak, zamanlama bu saldırılar için idealdir, çünkü web siteleri tatil sezonu nedeniyle artan trafik görüyor, yani kötü amaçlı siparişler ve kod enjeksiyonlarının göz ardı edilme olasılığı daha yüksek olabilir.
CVE-2022-24086'yı ele alan güvenlik güncellemesini uygulamadıysanız, bunu mümkün olan en kısa sürede yapmalısınız.
Ayrıca, Protonmail, Tutanota, vb. Kullanarak anonim e -posta hesapları tarafından gönderilen sırayla veya siparişlerde şablon kodu gibi bir Trojanorder saldırısının belirtilerini bulmak için siparişleri inceleyin.
Son olarak, sitenizde sıçan enjeksiyonları ile sonuçlanan potansiyel geçmiş enfeksiyonları keşfetmek için bir arka uç kötü amaçlı yazılım tarayıcısı kullanın.
Sansec, Magento'nun resmi aracı olan güvenlik taramasının sadece ön ucu kaztığını, böylece truva ataklarını yakalayamadığını söylüyor.
Bu nedenle, güvenlik firması, yöneticilerin sitelerini temizlemelerine yardımcı olmak için tarayıcıya bir aylık ücretsiz erişim sunar.
Unutmayın, kötü amaçlı yazılım ve PHP backroors'ı algılamak ve kaldırmak, yalnızca Magento 2 yamaları uygulanırsa gelecekteki enfeksiyonları durduracaktır, bu yüzden bu hala en önemli adımdır.
Bkz. Biletler 2,5 yıllık kredi kartı hırsızlığı ihlali açıklar
Github'da Satılık Sahte Microsoft Exchange Proxynotshell istismarları
Yeni saldırı artışını hedefleyen eleştirel magento güvenlik açığı
F5, Big-IP'de iki uzaktan kod yürütme kusurunu düzeltir
Araştırmacılar, sahne arkası öncesi RCE Bug için istismar ayrıntılarını yayınladı
Kaynak: Bleeping Computer