Περίπου 2.000 Magento stores παραβιάστηκαν τις τελευταίες 4 μέρες, με τους ερευνητές ασφαλείας να περιγράφουν το περιστατικό ως μέρος της μεγαλύτερης εκστρατείας που σημειώθηκε ποτέ. Κατά τις επιθέσεις, χάκερς παραβίασαν sites και έπειτα εμφύτευσαν κακόβουλα scripts στον πηγαίο κώδικα των Magento stores, που καταγράφει τα στοιχεία πιστωτικών καρτών που οι αγοραστές εισαγάγουν μέσα σε φόρμες αγοράς.
Σύμφωνα με τον Willem de Groot, ιδρυτή της Sanguine Security (SanSec), μιας ολλανδικής εταιρείας κυβερνοασφάλειας που ειδικεύεται στην παρακολούθηση επιθέσεων Magecart, μολύνθηκαν 10 καταστήματα την Παρασκευή, 1.058 το Σάββατο, 603 την Κυριακή και 233 χθες. Ο de Groot πρόσθεσε ακόμη πως πρόκειται για τη μεγαλύτερη εκστρατεία επιθέσεων που έχει εντοπίσει η Sansec από το 2015. Αξίζει να αναφερθεί ότι το προηγούμενο ρεκόρ ήταν 962 παραβιασμένα καταστήματα σε μία μέρα, τον περασμένο Ιούλιο.
Ο διευθυντής της SanSec ανέφερε ότι τα περισσότερα από τα sites των Magento stores που παραβιάστηκαν, χρησιμοποιούν την έκδοση 1.x του Magento online store software. Πρόκειται για μία έκδοση που έφτασε στο τέλος του κύκλου ζωής της (EOL) στις 30 Ιουνίου 2020 και δεν λαμβάνει πλέον ενημερώσεις ασφαλείας.
Αξιοσημείωτο είναι το γεγονός πως οι επιθέσεις εναντίον sites που εκτελούν το πλέον καταργημένο Magento 1.x software αναμένονταν από πέρυσι, όταν η Adobe – η οποία κατέχει το Magento – εξέδωσε την πρώτη ειδοποίηση τον Νοέμβριο του 2019 σχετικά με τους ιδιοκτήτες καταστημάτων που πρέπει να ενημερώσουν την έκδοση με το 2.x. Η αρχική προειδοποίηση της Adobe για επικείμενες επιθέσεις στα Magento 1.x stores επαναλήφθηκε αργότερα σε παρόμοιες ειδοποιήσεις ασφαλείας που εκδόθηκαν από την Mastercard και τη Visa την άνοιξη.
Εκείνη την περίοδο, εμπειρογνώμονες ασφαλείας εκτιμούσαν ότι οι χάκερς περίμεναν το EOL να έρθει, για να βεβαιωθούν ότι η Adobe δεν θα διορθώσει τα σφάλματα – κάτι που τελικά φαίνεται να επαληθεύτηκε.
Ενώ ο de Groot δεν έχει ακόμη εντοπίσει προς το παρόν τον τρόπο με τον οποίο οι χάκερς εισέβαλαν στα sites που στοχεύτηκαν τις τελευταίες μέρες, δήλωσε ότι οι διαφημίσεις για zero-day ευπάθεια στο Magento 1.x είχαν δημοσιευτεί σε hacking φόρουμ τον Αύγουστο, επιβεβαιώνοντας ότι οι χάκερς περίμεναν το EOL να έρθει. Σε μία διαφήμιση, ένας χρήστης με το όνομα z3r0day προσφέρθηκε να πουλήσει μια εκμετάλλευση απομακρυσμένης εκτέλεσης κώδικα (RCE) στην τιμή των $ 5.000, μια προσφορά που τότε θεωρήθηκε αξιόπιστη.
Το θετικό είναι ότι από τον Νοέμβριο του 2019 που η Adobe άρχισε να καλεί τους ιδιοκτήτες του Magento να μεταβούν στη νεότερη έκδοση, ο αριθμός των Magento 1.x stores έχει μειωθεί από 240.000 σε 110.000 τον Ιούνιο του 2020 και σε 95.000 σήμερα.
Επιπλέον, εκτιμάται πως πολλά από τα Magento stores που δεν έχουν ενημερωθεί έχουν πολύ χαμηλή επισκεψιμότητα χρηστών. Παρόλα αυτά, ορισμένα sites με υψηλή κίνηση εξακολουθούν να εκτελούν το 1.x και βασίζονται σε web application firewalls (WAFs) για να σταματήσουν τις επιθέσεις. Πρόκειται βέβαια για μια επικίνδυνη στρατηγική που μπορεί να μην αποδειχθεί έξυπνη σε βάθος χρόνου.
