Sicurezza Magento: violati 2800 eCommerce in tutto il mondo
La scorsa settimana si è verificata la più grande campagna di attacco MageCart documentata fino ad oggi che ha colpito più di 2800 eCommerce e denominata Cardbleed.
Migliaia di store Magento 1 in tutto il mondo sono stati violati attraverso l’iniezione di un codice dannoso che avrebbe intercettato i dati sensibili dei clienti tra cui i dati relativi alle carte di credito. L’attacco è stato rilevato da Sansec che, in un report molto dettagliato, ha sottolineato come la maggior parte dei siti colpiti dai cyber criminali utilizzasse la versione Magento 1 e senza patch di sicurezza adeguate.
Questo cosa significa?
Gli attacchi sono diventati sofisticati e automatizzati rendendo possibile azioni di web skimming sul maggior numero di eCommerce possibili in pochissimo tempo, rendendo ancora più alti i volumi di informazioni private rubate ai clienti.
Secondo i dati live di Sansec, circa 95mila eCommerce Magento 1 sono ancora operativi ad oggi e questa campagna potrebbe essere correlata ad una recente vulnerabilità 0day di Magento che sarebbe comparsa sugli store del Dark Web nei giorni scorsi, al prezzo di 5.000 dollari.
Come funziona l’attacco?
Gli aggressori hanno utilizzato gli IP 92.242.62.210 e 91.121.94.121 per interagire con il pannello di amministrazione di Magento e hanno utilizzato la funzionalità "Magento Connect" per scaricare e installare vari file, incluso un malware chiamato mysql.php. Questo file è stato eliminato automaticamente dopo che il codice dannoso è stato aggiunto a prototype.js.
È stato anche osservato il caricamento di un file core di libreria Magento chiamato app/Mage.php. Sebbene la versione caricata fosse benigna, non corrispondeva esattamente alla versione di Magento interessata.
Altre persone hanno osservato richieste aggiuntive da parte degli IP di cui sopra per un file chiamato Neko.php o neko.php.
Non è ancora chiaro se l'interazione osservata con la cartella /downloader fosse in realtà il punto di ingresso per l'aggressore o semplicemente un mezzo per caricare file utilizzando credenziali di amministratore ottenute in precedenza.
Infine sembra che il dominio del malware mcdnn.net sia stato bloccato e che i responsabili dell’attacco ora utilizzino ajaxcloudflare.com per caricare il malware e il dominio consoler.in per incanalare i dati intercettati.
Per completezza riportiamo qui sotto gli indicatori rilevanti di compromissione:
- mcdnn.me/121082/assets/js/jet.js
- mcdnn.me/121192/assets/js/jet.js
- mcdnn.net/122002/assets/js/widget.js
- facelook.no/en_US/pixel.js
- imags.pw/502.jsp
- consoler.in/502.jsp
- 92.242.62.210
- 91.121.94.121
Come posso mettere in sicurezza il mio eCommerce Magento?
La cosa che puoi fare ora e in autonomia per rendere più sicura la tua installazione Magento 1 è rimuovere completamente la cartella /downloader e limitare l'accesso ad /admin.
Dopodichè è fondamentale eseguire scansioni di sicurezza periodiche del proprio eCommerce per prevenire eventuali attacchi, come malware e digital skimming, e verificare l'installazione di tutte le patch di sicurezza.
Queste verifiche sono importanti anche per gli store Magento 1 che dal 30 giugno 2020 non ricevono più aggiornamenti ufficiali ma che molto spesso non hanno le patch rilasciate in precedenza.
Webformat può aiutarti eseguendo verifiche più approfondite sulle patch di sicurezza installate o necessarie al tuo store.
Analisi di sicurezza gratuita per il tuo eCommerce
Webformat ti offre gratuitamente la possibilità di ricevere un’analisi di sicurezza del tuo eCommerce Magento. Grazie allo strumento Magento Security Scan e l’expertise del nostro team riceverai il report completo con indicazione sui test eseguiti ma anche i consigli e suggerimenti dei nostri esperti.
Fonte: articolo sansec.io, Cardbleed: a massive Magento1 hack
+39-02-40042749
[email protected]
©2024 WEBFORMAT srl - P.IVA 01449800935 - pec: [email protected]
Società soggetta all'attività di Direzione e Coordinamento di Impresoft S.p.A.
