威胁行为者被发现利用 Magento 的一个严重缺陷向电子商务网站注入持久后门。
该攻击利用了CVE-2024-20720(CVSS 评分:9.1),Adobe 将其描述为“特殊元素的不当中和”案例,可能为任意代码执行铺平道路。
该公司在 2024 年 2 月 13 日发布的安全更新中解决了这个问题。
Sansec 表示,它在数据库中发现了一个“精心设计的布局模板”,该模板被用来自动注入恶意代码以执行任意命令。
该公司表示:“攻击者将 Magento 布局解析器与 beberlei/assert 包(默认安装)结合起来执行系统命令。 ”
“由于布局块与结帐车相关联,因此每当请求 <store>/checkout/cart 时都会执行此命令。”
有问题的命令是sed,它用于插入一个代码执行后门,然后负责提供 Stripe支付浏览器以捕获财务信息并将其泄露到另一个受感染的 Magento 商店。
这一进展正值俄罗斯政府对 6 人提出指控,指控他们至少自 2017 年底以来使用 skimmer 恶意软件窃取外国电子商务商店的信用卡和支付信息。
嫌疑人是丹尼斯·普里马琴科、亚历山大·阿塞耶夫、亚历山大·巴索夫、德米特里·科尔帕科夫、弗拉迪斯拉夫·帕图克和安东·托尔马乔夫。 《未来新闻记录》援引法庭文件报道称,逮捕行动是一年前进行的。
俄罗斯联邦总检察长办公室表示:“结果,该黑客组织成员非法掌握了近 16 万张外国公民支付卡的信息,然后通过影子互联网网站出售这些信息。”
转载出处:https://thehackernews.com/2024/04/hackers-exploit-magento-bug-to-steal.html