Bir güvenlik açığı tespit ve web sitesi güvenlik firması olan Sansec, CVSS puanı 9,8 olan ve CVE-2022-24086 olarak izlenen kritik bir posta şablonu güvenlik açığından yararlanan siber saldırılarda ani bir artış olduğu konusunda uyarıda bulundu. Araştırmacılar saldırıyı TrojanOrders olarak adlandırdı.
Bu kusur, Magento ve Adobe Commerce mağazalarını etkiler. Adobe, Şubat 2022’de bu kusur için acil durum yamaları yayınladı ve e-ticaret mağazalarının yöneticilerini ve sahiplerini kusurun vahşi bir şekilde istismar edildiği konusunda uyardı.
Daha sonra Adobe, yayınladığı yamaların atlandığını doğruladı ve kusura yeni bir CVE tanımlayıcısı atandı (CVE-2022-24087).
Araştırmacılar TrojanOrders Saldırılarında Artış Gözlemliyor
Sansec’e göre en az yedi magecart grubu, TrojanOrders saldırılarında Magento 2 web sitelerini hedef alarak aynı güvenlik açığından yararlanıyor. Saldırganın savunmasız sunucuları tehlikeye atmasına izin verir.
Sansec araştırmacıları, Magento 2 web sitelerinin yaklaşık %40’ının bu saldırılarda hedef alındığı konusunda uyarıda bulundu. Aslında şirket, bilgisayar korsanlığı gruplarının etkilenen web sitesinin kontrolünü ele geçirmek için hançer çektiğine inanıyor. Bu eğilimin, Noel nedeniyle çevrimiçi mağazaların ziyaretçi sayısında artış beklediği için devam etmesi muhtemeldir.
Saldırı Nasıl Çalışır?
Saldırgan, işi aksatmak için bir e-ticaret web sitesine kötü amaçlı JavaScript kodu enjekte eder. Müşteri kredi kartı hırsızlığına da yol açabilir. Kara Cuma veya Siber Pazartesi gibi yoğun bir günde böyle bir aktivite yapılırsa, büyük hasara neden olabilir.
Güvenlik açığı, keyfi kod yürütmeyi gerçekleştirmek için kimlik doğrulaması olmadan yararlanılabilen, ödeme mekanizmasındaki uygunsuz bir giriş doğrulama hatasıdır.
Saldırganlar, sistemi tetiklemek için önce Adobe Commerce ve Magento mağazalarını analiz eder. Açıklardan yararlanma koduna sahip bir alan içeren bir e-posta gönderirler. Bu tetikleyiciler bir sipariş verme, müşteri kaydı veya bir istek listesinin paylaşılması olabilir.
Tetikleyici başarılı olursa, saldırganlar virüslü sitenin kontrolünü ele geçirmeye ve sistem yama uygulanmış olsa bile kalıcı erişimi sürdürmek için bir RAT (uzaktan erişim trojan) kurmaya çalışır. Arka kapı genellikle health_check.php dosyasında gizlidir. Sansec, bu güvenlik açığını hedefleyen yedi saldırı vektörü belirledi.
“Yedi saldırı vektörü, en az yedi Magecart grubunun artık aktif olarak Magento 2 web sitelerinde TrojanOrders’ı denediği anlamına geliyor. Bir saldırı rotası geliştirmek zor ve pahalıdır. Bir grup çalışan bir istismara (saldırı vektörü) sahip olduğunda, etkililiği sona ermediği sürece onu kullanmaya devam ederler.”
Sansec
Araştırmacılar, blog gönderilerinde, düzeltmelerin yaklaşık dokuz ay önce yayımlanmış olmasına rağmen, Magento sitelerinin ve e-ticaret mağazalarının üçte birinin henüz bunları uygulamadığını, dolayısıyla bunların TrojanOrders saldırılarına karşı savunmasız olabileceğini istediler.
Alakalı haberler
- Wisepay’e Magecart saldırısından sonra 100’lerce okul risk altında
- Bilgisayar korsanları, 14.579 BevMo müşterisinin kredi kartı verilerini çaldı
- Lazarus, AB ve ABD sitelerinden kart verilerini çalmak için Magecart saldırısını kullanıyor
- Magecart bilgisayar korsanları, Magento mağazalarına karşı en büyük saldırıyı başlattı
- Web skimming, magecart saldırısı çalıştırmak için saldırıya uğramış siteler nasıl kontrol edilir