16 sep. 2020

Más de 2.000 sitios de Magento hackeados (Actualiza!)

Se han detectado ataques en más de 2.000 tiendas electrónicas que estaban haciendo uso del software Magento. Los ataques se habrían realizado en los últimos meses, aunque se encuentran afectadas tanto tiendas con versión 1 como tiendas como la versión 2 de Magento.

Estos tipos de ataques se denominan MageCart y se han convertido en un problema lo suficientemente grande para Magento que VISA emitió un aviso instando a los comerciantes a migrar los sitios de comercio electrónico al Magento 2.x más seguro.

Los atacantes consiguen ejecutar código PHP malicioso en el servidor en el que se encuentra instalado Magento. Utilizan una webshell PHP con el nombre "mysql.php" que permite a los atacantes modificar diferentes ficheros JavaScript para inyectar su código malicioso según la versión de la tienda:
  • jquery.js: En la versión 1 de Magento.
  • prototype.js: En la versión 2 de Magento.
El código que se añade en esos ficheros únicamente se encarga de cargar el código malicioso que se encuentra alojado en otro servidor controlado por el atacante. La URL del fichero JavaScript malicioso cargado es: mcdnn[.]net/122002/assets/js/widget.js.

En widget.js se encuentra el código encargado de robar los datos de la tarjeta de crédito del cliente durante el proceso de pago. Los datos robados se envían a la URL https://imags.pw/502.jsp, que se encuentra en un servidor controlado por el atacante. Esta campaña automatizada es, con mucho, la más grande que Sansec ha identificado desde que comenzó a monitorear en 2015. "El récord anterior fue de 962 tiendas hackeadas en un solo día en julio del año pasado", declaró de Groot en un informe.

Hasta ahora se desconoce cuales han sido los vectores de entrada para lograr subir la webshell a los servidores comprometidos, aunque todo parece indicar que se trata de vulnerabilidades 0-Day. En el caso de la versión 1 de Magento se vende un exploit en un foro underground por 5.000$, que podría ser la vulnerabilidad utilizada como vector de entrada.

En el caso de la versión 2 se desconoce cuál puede ser el vector de entrada, ya que no se han encontrado exploits a la venta. Los investigadores de Sanec que detectaron estos ataques siguen con la investigación para determinar el modo de acceso por parte de los atacantes.

Fuente: Hispasec | BC

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!