Προσπάθειες hacking στοχεύουν μια ευπάθεια του Magento 2 που επιτρέπει σε unauthenticated εισβολείς να εκτελούν κώδικα σε unpatched sites.
Το Magento είναι μια open source πλατφόρμα e-commerce που ανήκει στην Adobe, η οποία χρησιμοποιείται από περίπου 170.000 διαδικτυακούς ιστότοπους shopping σε όλο τον κόσμο.
Η ευπάθεια CVE-2022-24086 του Magento ανακαλύφθηκε και διορθώθηκε τον Φεβρουάριο του 2022, όταν οι φορείς απειλών το εκμεταλλεύονταν ήδη. Εκείνη την εποχή, η CISA δημοσίευσε μια ειδοποίηση καλώντας τους site admins να εφαρμόσουν τη διαθέσιμη ενημέρωση ασφαλείας.
Μερικές μέρες αργότερα, οι ερευνητές ασφαλείας δημοσίευσαν ένα proof-of-concept (PoC) exploit για το CVE-2022-24086, ανοίγοντας το δρόμο στη μαζική εκμετάλλευση.
Σύμφωνα με μια έκθεση που δημοσιεύτηκε σήμερα από τη Sansec, φτάσαμε σε αυτό το στάδιο, με την ευπάθεια του κρίσιμου template να γίνεται αγαπημένο στο hacker underground.
Δείτε επίσης: CISA: Κρίσιμο σφάλμα ManageEngine RCE χρησιμοποιείται σε επιθέσεις
Οι αναλυτές της Sansec παρατήρησαν τρεις παραλλαγές επίθεσης που εκμεταλλεύονται το CVE-2022-24086 για την εισαγωγή ενός remote access trojan (RAT) σε ευάλωτα endpoints.
Οι επιθέσεις είναι διαδραστικές επειδή το Magento checkout flow είναι δύσκολο να αυτοματοποιηθεί και μπορεί να μειώσει την αποτελεσματικότητα των επιθέσεων.
Η πρώτη παραλλαγή ξεκινά με τη δημιουργία ενός νέου λογαριασμού πελάτη στην πλατφόρμα προορισμού χρησιμοποιώντας κακόβουλο template code στο όνομα και το επώνυμο και στη συνέχεια με την υποβολή μιας παραγγελίας.
Ο κώδικας που εισάγεται αποκωδικοποιείται σε μια εντολή που κατεβάζει ένα executable αρχείο Linux (“223sam.jpg”) το οποίο εκκινείται στο παρασκήνιο ως διεργασία. Αυτό είναι το RAT, το οποίο τηλεφωνεί σε server με έδρα τη Βουλγαρία για λήψη εντολών.
«Αυτή η μέθοδος επίθεσης καταργεί ορισμένα από τα χαρακτηριστικά ασφαλείας της πλατφόρμας Adobe Commerce Cloud, όπως μια βάση read-only κώδικα και την περιορισμένη εκτέλεση PHP υπό pub/media», εξηγεί η Sansec στην αναφορά για την ευπάθεια του Magento.
«Το RAT έχει πλήρη πρόσβαση στη βάση δεδομένων και στις εκτελούμενες διεργασίες PHP… και μπορεί να γίνει inject σε οποιαδήποτε από τα nodes σε ένα περιβάλλον multi-server cluster.»
Δείτε ακόμα: Χάκερ κλέβουν λογαριασμούς GitHub μέσω ψεύτικων ειδοποιήσεων CircleCI
Η δεύτερη επίθεση περιλαμβάνει το injection ενός backdoor PHP (“health_check.php”) με τη συμπερίληψη του template code στο πεδίο ΦΠΑ της παραγγελίας που υποβλήθηκε.
Ο κώδικας δημιουργεί ένα νέο αρχείο (“pub/media/health_check.php”) που δέχεται εντολές μέσω POST requests.
Τέλος, η τρίτη παραλλαγή επίθεσης χρησιμοποιεί template code που εκτελείται για να αντικαταστήσει το “generated/code/Magento/Framework/App/FrontController/Interceptor.php” με μια κακόβουλη, backdoored έκδοση.
Οι ερευνητές προτρέπουν τους site administrators Magento 2 να ακολουθήσουν τις οδηγίες ασφαλείας σε αυτήν τη σελίδα υποστήριξης και να αναβαθμίσουν το λογισμικό τους στην πιο πρόσφατη έκδοση.
Πηγή: bleepingcomputer.com
