Alcuni criminali informatici sono stati scoperti a sfruttare una grave falla in Magento (un noto sito di e-commerce, proprietà di Adobe) per inserire un backdoor persistente nei siti web di e-commerce.
Cosa dice Adobe, riguardo a questa falla nella sua piattaforma Magento
L’attacco sfrutta la CVE-2024-20720 (punteggio CVSS: 9.1), che è stata descritta da Adobe come un caso di “neutralizzazione impropria di elementi speciali” che potrebbe aprire la strada all’esecuzione non autorizzata di codice potenzialmente malevolo.
Questa falla (fortunatamente ) è stata successivamente corretta dall’azienda come parte degli aggiornamenti di sicurezza rilasciati il 13 febbraio 2024.
Sansec ha detto di aver scoperto un “layout template ingegnosamente progettato nel database” che viene utilizzato per iniettare automaticamente codice dannoso per eseguire comandi con effetti malevoli.
“Gli attaccanti combinano il parser del layout di Magento con il pacchetto beberlei/assert (installato per impostazione predefinita) per eseguire comandi di sistema” ha detto l’azienda, aggiungendo: “Poiché il blocco del layout è legato al carrello di checkout, questo comando viene eseguito ogni volta che viene richiesto /checkout/cart.“
Il comando in questione è sed, che viene utilizzato per inserire un backdoor per l’esecuzione del codice malevolo, che è poi responsabile della consegna di uno skimmer di pagamento Stripe per catturare ed esfiltrare informazioni finanziarie verso un altro negozio Magento compromesso.
Lo sviluppo arriva mentre il governo russo ha accusato sei persone di utilizzare malware skimmer per rubare informazioni sulle carte di credito e sui pagamenti da negozi di e-commerce stranieri almeno dal tardo 2017.
I sospetti sono Denis Priymachenko, Alexander Aseyev, Alexander Basov, Dmitry Kolpakov, Vladislav Patyuk e Anton Tolmachev; Recorded Future News ha riferito che gli arresti sono stati effettuati un anno fa, citando documenti giudiziari.
“Di conseguenza, i membri del gruppo di hacker si sono illegalmente impossessati di informazioni su quasi 160 mila carte di pagamento di cittadini stranieri, dopodiché le hanno vendute attraverso siti internet nell’ombra” ha detto l’Ufficio del Procuratore Generale della Federazione Russa.
Come tutelarsi se hai un account su Magento e altre piattaforme simili
Dopo aver preso atto della grave vulnerabilità scoperta in Magento e delle possibili implicazioni per la sicurezza dei siti web di e-commerce, gli utenti che possiedono un account su Magento dovrebbero prendere immediatamente misure per proteggere i propri dati e il proprio sito, pertanto di seguito sono riportate alcune azioni consigliate.
Aggiornamento del sistema
Assicurarsi di avere installato gli ultimi aggiornamenti di sicurezza rilasciati da Magento; questi aggiornamenti spesso includono patch per correzioni di vulnerabilità come quella descritta.
Analisi del sito
Effettuare una scansione approfondita del proprio sito web per individuare eventuali segni di compromissione o presenza di codice dannoso; ciò può essere fatto utilizzando strumenti di sicurezza specializzati o attraverso l’assistenza di esperti di sicurezza informatica.
Fortificazione delle credenziali
Modificare immediatamente le password di accesso all’account Magento e utilizzare password robuste e uniche per ridurre il rischio di accessi non autorizzati.
Monitoraggio delle transazioni
Prestare particolare attenzione alle transazioni finanziarie e ai movimenti di denaro sul proprio sito; qualsiasi attività sospetta dovrebbe essere segnalata e investigata immediatamente.
Implementazione di sicurezza aggiuntiva
Considerare l’implementazione di misure di sicurezza aggiuntive come l’autenticazione a due fattori per l’accesso all’account Magento, firewall web e filtri anti-malware per proteggere il sito da futuri attacchi.
Backup regolari
Effettuare backup regolari dei dati del sito web e archiviare copie sicure in un luogo separato e questo può essere utile nel ripristinare il sito in caso di compromissione o perdita di dati.
Formazione del personale
Assicurarsi che tutto il personale coinvolto nella gestione del sito web sia informato sulle pratiche di sicurezza migliori e consapevole dei rischi associati agli attacchi informatici; prendere tempestivamente queste misure può aiutare a ridurre il rischio di compromissione del sito e a proteggere i dati sensibili degli utenti e delle transazioni finanziarie.
