El FBI advierte sobre los ataques a las tiendas en línea de Magento a través de la antigua vulnerabilidad del complemento


estudio-de-más-11000-tiendas-en-línea-encuentra-5dd2b42cebd1f40001afceb4-1-nov-21-2019-15-27-03-poster.jpg

El FBI dice que los piratas informáticos están explotando una vulnerabilidad de tres años en un complemento de Magento para hacerse cargo de las tiendas en línea y plantar un script malicioso que registra y roba los datos de la tarjeta de pago de los compradores.

Este tipo de ataque se conoce como website skimming, e-skimming o Magecart, y el FBI advirtió previamente sobre un aumento en los ataques en octubre del año pasado.

Campaña reciente que explota el error MAGMI

En esta reciente campaña, los atacantes están explotando CVE-2017-7391, una vulnerabilidad en MAGMI (Magento Mass Import), un complemento para las tiendas en línea basadas en Magento, dijo el FBI en una alerta de seguridad instantánea enviada al sector privado de Estados Unidos a principios de mes.

La vulnerabilidad es un error de scripting entre sitios (XSS) que permite al atacante plantar código malicioso dentro del código HTML de una tienda en línea.

El FBI dice que los piratas informáticos están explotando esta vulnerabilidad para robar credenciales del entorno para una tienda en línea de Magento, que están utilizando para tomar el management total sobre los sitios objetivo.

Una vez que obtienen acceso a los sitios, plantan shells website para acceso futuro y comienzan a modificar los archivos PHP y JavaScript del sitio con un código malicioso que registra los detalles de pago ingresados ​​en la tienda cuando los usuarios compran y pagan nuevos productos.

El FBI dice que los datos de la tarjeta de pago grabados de las transacciones de los usuarios se codifican en el formato Foundation64, se ocultan dentro de los bits de un archivo JPEG y se envían al servidor de los piratas informáticos, ubicado en 89.32.251.136.

De acuerdo a un Entrada full de virus, este servidor malicioso es un host conocido para Inter (1, 2, 3), un servicio de cibercrimen que alquila infraestructura para grupos de hackers poco calificados para que puedan llevar a cabo operaciones de descremado world wide web. Los informes de este servidor utilizado en ataques de skimmer world-wide-web se remontan hasta mayo de 2019.

Sitios abandonados sin actualizaciones

La alerta flash del FBI contiene indicadores de compromiso (IOC) que los operadores de Magento pueden implementar dentro de sus firewalls de aplicaciones web (WAF) para evitar ataques contra sus sitios.

Actualizando a MAGMI .7.23 También se recomienda, ya que esto corrige el error XSS que otorga a los atacantes acceso inicial a las tiendas.

Sin embargo, el complemento MAGMI solo funciona para versiones anteriores de las tiendas Magento, la sucursal 1.x, que está programada para llegar al remaining de su vida útil el 30 de junio de 2020.

Idealmente, los propietarios de las tiendas deberían actualizar todas sus tiendas, no solo el complemento MAGMI, a la versión 2.x, que continuará recibiendo actualizaciones de seguridad en el futuro.

Continuar ejecutando tiendas Magento en versiones antiguas y sin mantenimiento deja los sitios a los ataques ya que Adobe no lanzará parches para la rama 1.x en el futuro



Enlace a la noticia initial