Эксперты RIPS Technologies рассказали, что обнаружили в популярной CMS Magento ряд уязвимостей, сочетание которых позволяло злоумышленникам установить контроль над уязвимым сайтом.
Для осуществления атаки преступнику сначала нужно было воспользоваться stored XSS-багом, чтобы внедрить вредоносный JavaScript в бэкэнд уязвимого магазина. Затем, перехватив сессию одного из сотрудников, атакующий получал возможность использовать эти привилегии для эксплуатации RCE-уязвимости в механизме десериализации данных PHP-утилиты Phar. То есть полностью перехватить контроль над ресурсом. «Злоумышленники могли перенаправить все платежи на свой банковский счет или похищать информацию о банковских картах пользователей», — пишут эксперты.
Единственным условием, необходимым для реализации атаки, являлось наличие в магазине встроенного модуля оплаты Authorize.Net, так как корень проблемы лежал в том, как разработчики Magento реализовали имплементацию данного решения для обработки платежей.
Изначально упомянутая проблема stored XSS была обнаружена еще в Magento версии 2.2.6, в августе 2018 года. В ноябре прошлого года для нее вышел патч, однако вскоре выяснилось, что исправление можно обойти и Magento 2.3.0 по-прежнему уязвима. Новые патчи были выпущены в составе Magento 2.3.2, 2.2.9 и 2.1.18.
Вторая проблема, сопряженная с десериализацией Phar, была обнаружена в январе 2019 года и устранена в марте в Magento 2.3.1, 2.2.8 и 2.1.17.
Отмечу, что магазины на базе Magento по-прежнему являются излюбленными целями злоумышленников, которые практикуют так называемые атаки MageCart или софтверный скимминг. К примеру, согласно свежему отчету компании Sanguine Security, в настоящее время на уязвимые магазины ведется целенаправленная и автоматизированная атака, от которой уже пострадали более 960 сайтов. В основном жертвами этой атаки стали небольшие магазины, однако, по данным экспертов, среди пострадавших есть и несколько крупных ресурсов.
Аналитики компании RiskIQ полагают, что новая кампания, это дело рук группы Magecart 7, которая и ранее применяла и автоматизировала эксплоиты для атак на известные уязвимости. Напомню, что в прошлом году аналитики компаний RiskIQ и Flashpoint представили совместный отчет об атаках MageCart, в котором описали основные группировки, действующие такими методами, и их тактики.
