.
As lojas de comércio eletrônico que usam o software Magento 2 de código aberto da Adobe estão sendo alvo de uma campanha de exploração contínua com base em uma vulnerabilidade crítica corrigida no ano passado, em 13 de fevereiro de 2022.
Pesquisadores de segurança da Akamai dizem ter identificado uma campanha de injeção de modelo do lado do servidor destinada a lojas do Magneto 2 que ainda não abordaram CVE-2022-24086uma falha de validação de entrada com uma pontuação CVSS de 9,8.
“Infelizmente, as empresas acham difícil identificar adequadamente todos os seus ativos e corrigir em tempo hábil”, disse Maxim Zavodchik, diretor de pesquisa de ameaças da Akamai, em um e-mail para Strong The One.
As empresas acham difícil identificar adequadamente todos os seus ativos e corrigir em tempo hábil
“Embora os CVEs de dia zero e recém-divulgados apresentem uma grande oportunidade para os invasores, os CVEs mais antigos ainda estão sendo explorados por agentes de ameaças para obter acesso inicial a sites e redes”.
A campanha, conforme explicado em um postagem no blog pelos colegas de Zavodchik e Akamai, Ron Mankivsky, Dennis German, Chen Doytshman e Tricia Howard, está em andamento desde pelo menos janeiro de 2023.
“O invasor parece estar interessado nas estatísticas de pagamento dos pedidos feitos na loja Magento da vítima nos últimos 10 dias”, disseram eles.
Isso não é totalmente surpreendente. Pelo menos sete grupos de ameaças se concentraram em atacar lojas Magento desde 2015, de acordo com os pesquisadores de segurança. Esses grupos, referidos coletivamente como Magecart devido ao seu foco em carrinhos de compras Magento, contam com várias técnicas de malware, como o skimming de dados JavaScript, para interceptar e roubar dados de transações de sites de comércio eletrônico.
A campanha mais recente, que a Akamai apelidou de “Xurum” porque esse era o nome do servidor de comando e controle do invasor até que a postagem da Akamai sobre o assunto evidentemente levou a uma mudança de nome.
Zavodchik disse que a Akamai não tem informações sobre o número de lojas Magento afetadas ou vulneráveis. “Estamos inspecionando e bloqueando ataques direcionados aos nossos clientes, mas nosso [Web Application Firewall] não coleta informações sobre a versão Magento dos clientes.”
Os invasores tentaram servir duas cargas diferentes de quatro endereços IP, três associados ao provedor de serviços Hetzner na Alemanha e um associado ao Shock Hosting nos Estados Unidos.
“A primeira variante executa o file_get_contents Função PHP para enviar uma solicitação ao servidor C2 do invasor xurum.com para determinar se o servidor é vulnerável a CVE-2022-24086 enquanto o blob Base64 decodifica para https://xurum.com/mo”, explicam os pesquisadores.
A segunda variante fornece código PHP malicioso, ofuscado usando a codificação Base64 e executado usando o shell_exec Função PHP, do servidor xurum.
O servidor xurum, quando estava em operação, estava localizado fisicamente na Holanda e era operado pela empresa russa de hospedagem VDSina.ru. Quando a Akamai verificou o servidor via VirusTotal, ele não foi classificado como malicioso.
Os pesquisadores observaram que, em vez de executar o shell da web em um servidor controlado pelo invasor, o código busca um shell da web no GitHub e, em vez de gravá-lo no disco, o executa na memória quando a página “registration.php” recém-criada é acessada. .
“O CVE permite a execução de código arbitrário no servidor de destino”, explicou Zavodchik. “Os invasores usam isso para extrair o shell da web do Github e executá-lo na vítima. Os invasores estão fazendo uma solicitação com o exploit para o servidor vulnerável, então o exploit está fazendo uma solicitação ao Github para buscar o shell da web e executá-lo. “
Os invasores tentam impedir o uso não autorizado do shell da web exigindo a presença de um cookie específico “magemojo000” na solicitação da web como condição de execução. Eles também usam CSS para ocultar a página de login do shell da web fora da tela.
Para evitar que o componente malicioso seja detectado, o código do invasor registra o shell da web como um novo componente do Magento chamado “GoogleShoppingAds”.
“Esta campanha serve como um exemplo prático de como as vulnerabilidades mais antigas continuam a ser exploradas anos após a divulgação, enquanto as empresas lutam para acompanhar os patches e as medidas de segurança”, concluem os pesquisadores. ®
.
