Tehdit aktörlerinin Magento’daki kritik bir kusurdan yararlanarak e-ticaret web sitelerine kalıcı bir arka kapı enjekte ettiği tespit edildi.
Saldırının etkisi var CVE-2024-20720 (CVSS puanı: 9.1), Adobe tarafından keyfi kod yürütülmesine yol açabilecek “özel öğelerin uygunsuz şekilde etkisiz hale getirilmesi” durumu olarak tanımlandı.
Bu sorun, şirket tarafından 13 Şubat 2024’te yayınlanan güvenlik güncellemeleri kapsamında giderildi.
Sansec, rastgele komutları yürütmek için otomatik olarak kötü amaçlı kod enjekte etmek için kullanılan “veritabanında akıllıca hazırlanmış bir düzen şablonu” keşfettiğini söyledi.
Şirket, “Saldırganlar, sistem komutlarını yürütmek için Magento düzen ayrıştırıcısını beberlei/assert paketiyle (varsayılan olarak yüklenir) birleştiriyor” dedi.
“Yerleşim bloğu ödeme sepetine bağlı olduğundan bu komut her zaman yürütülür.
Söz konusu komut sed’dir ve bu komut, daha sonra bir Stripe ödeme skimmer’ı ileterek mali bilgileri ele geçirilmiş başka bir Magento mağazasına sızdırmaktan sorumlu olan bir kod yürütme arka kapısı eklemek için kullanılır.
Bu gelişme, Rus hükümetinin en az 2017’nin sonlarından bu yana yabancı e-ticaret mağazalarından kredi kartı ve ödeme bilgilerini çalmak için kötü amaçlı yazılım kullanan altı kişiyi suçlamasıyla ortaya çıktı.
Şüpheliler Denis Priymachenko, Alexander Aseyev, Alexander Basov, Dmitry Kolpakov, Vladislav Patyuk ve Anton Tolmachev. Recorded Future News, mahkeme belgelerine dayanarak tutuklamaların bir yıl önce yapıldığını bildirdi.
Rusya Federasyonu Başsavcılığı, “Sonuç olarak hacker grubunun üyeleri, yabancı vatandaşlara ait yaklaşık 160 bin ödeme kartına ilişkin bilgileri yasadışı bir şekilde ele geçirdi ve ardından bunları gölge internet siteleri aracılığıyla sattı” dedi.