Специалисты Sansec предупредили, что хакеры уже используют свежую уязвимость в Magento (CVE-2024-20720) и с ее помощью внедряют устойчивый бэкдор на e-commerce сайты.
Уязвимость описывается как проблема внедрения команд, возникающая из-за «некорректной нейтрализации специальных элементов». В итоге CVE-2024-20720 может привести к выполнению произвольного кода без взаимодействия с пользователем, поэтому она получила статус критической и оценивается в 9,1 балла из 10 возможных по шкале CVSS.
Разработчики Adobe исправили эту проблему в рамках февральского «вторника обновлений», однако, похоже, установить патчи успели далеко не все владельцы сайтов.
По данным Sansec, злоумышленники придумали хитрый способ эксплуатации CVE-2024-20720. Они используют модифицированный шаблон макета (layout template) в базе данных для внедрения XML-кода и автоматического внедрения вредоносного кода с целью выполнения произвольных команд.
«Злоумышленники комбинируют парсер макета Magento с пакетом beberlei/assert (установленным по умолчанию) для выполнения системных команд. Поскольку блок макета привязан к корзине, команда выполняется при каждом запросе <store>/checkout/cart», — поясняют специалисты.
В ходе изученных экспертами атак, бэкдор добавлялся в автоматически создаваемый контроллер CMS, что обеспечивало периодическое повторное внедрение бэкдора и гарантировало устойчивое удаленное выполнение кода через POST-команды.
Атакующие использовали этот механизм для внедрения веб-скиммера Stripe в код сайтов и похищали платежные данные из скомпрометированных магазинов.
Исследователи напоминают пользователям о необходимости как можно скорее обновить Magento до версий 2.4.6-p4, 2.4.5-p6 или 2.4.4-p7, а также проверить свои сайты на наличие признаков заражения.