Main menu

Pages

Magento- und Adobe-Commerce-Websites griffen Sicherheitsangelegenheiten an

Meta description

Forscher warnen vor einem Anstieg von Cyberangriffen auf CVE-2022-24086, ein Vorauthentifizierungsproblem, das Adobe Commerce- und Magento-Shops betrifft.

Im September 2022 warnten Sansec-Forscher vor einer Zunahme von Hacking-Versuchen, die auf eine kritische Schwachstelle in Magento 2 abzielen, die als CVE-2022-24086 identifiziert wurde.

Magento ist eine beliebte Open-Source-E-Commerce-Plattform von Adobe, die von Hunderttausenden von Online-Shops auf der ganzen Welt verwendet wird.

Im Februar führte Adobe Sicherheitsupdates ein, um den kritischen Fehler CVE-2022-24086 zu beheben, der seine Commerce- und Magento-Open-Source-Produkte betrifft, zu dem Zeitpunkt, als das Unternehmen bestätigte, dass er aktiv in freier Wildbahn ausgenutzt wird.

„Adobe ist sich bewusst, dass CVE-2022-24086 in freier Wildbahn in sehr begrenzten Angriffen auf Adobe Commerce-Händler ausgenutzt wurde.“ Lesen Sie die von Adobe veröffentlichte Mitteilung.

Bei dem Fehler handelt es sich um eine „bad input validation“-Schwachstelle, die von Hackern mit Administratorrechten ausgenutzt werden könnte, um willkürlichen Code auf anfälligen Systemen auszuführen.

CVE-2022-24086 erhielt eine CVSS-Punktzahl von 9,8 von 10, es wird als Vorauthentifizierungsproblem eingestuft, was bedeutet, dass es ohne Anmeldeinformationen ausgenutzt werden könnte.

Die Schwachstelle betrifft die folgenden Produktversionen:

PRODUKT AUSFÜHRUNG PLATTFORM
Adobe Commerce 2.4.3-p1 und früher Alle
2.3.7-p2 und früher Alle
Magento-Open-Source 2.4.3-p1 und früher Alle
2.3.7-p2 und früher Alle

Adobe Commerce 2.3.3 und frühere Versionen sind von dieser Schwachstelle nicht betroffen.

Einige Tage nach ihrer Offenlegung erstellten Forscher von Positive Technologies einen funktionierenden PoC-Exploit für die Schwachstelle.

Obwohl Adobe das Problem Anfang dieses Jahres behoben hat, müssen leider noch rund ein Drittel der bestehenden Magento- und Commerce-Shops Sicherheitsupdates installieren.

Jetzt warnen Forscher von Sansec, dass mindestens sieben Magecart-Gruppen TrojanOrders im November in rund 38 % der Magento- und Adobe Commerce-Websites einschleusen. TrojanOrders sind Bestellungen, die durch Ausnutzung einer kritischen Schwachstelle in Magento-Shops eingeschleust werden.

Magento-Angriffe
Quelle Sansec

„Nach einem ruhigen Sommer nimmt die Zahl der Angriffe auf die E-Mail-Template-Schwachstelle in Magento 2 und Adobe Commerce rapide zu. Händler und Entwickler sollten nach TrojanOrders Ausschau halten: Befehle, die eine kritische Schwachstelle in Magento-Shops ausnutzen. heißt es in dem von den Experten veröffentlichten Bericht „Der Trend der letzten Wochen zeichnet für E-Commerce-DevOps-Teams weltweit ein düsteres Bild für die kommenden Wochen.“

Die Angriffskette ist einfach, Angreifer versuchen zunächst, das System zum Senden einer E-Mail zu veranlassen, indem sie den Exploit-Code in eines der Felder einfügen. Die E-Mail wird bei einer Bestellung ausgelöst, aber Experten haben auch andere Auslöser mit den Funktionen „Als Kunde registrieren“ oder „Wunschliste teilen“ beobachtet.

Normalerweise ist die Hintertür in der Datei health_check.php versteckt, die eine legitime Komponente von Magento ist.

In den letzten Wochen hat Sansec sieben verschiedene Angriffsvektoren entdeckt, Daten, die darauf hindeuten, dass mindestens sieben Magecart-Gruppen jetzt aktiv TrojanOrders auf Magento 2-Websites ausprobieren.

„Die Entwicklung eines Angriffspfads ist schwierig und teuer. Sobald eine Partei einen funktionierenden Exploit (Angriffsvektor) hat, verwendet sie ihn weiter, bis sie nicht mehr effektiv ist. fährt der Bericht fort. „Das aktive Scannen der Datei mit der Hintertür (health_check.php) nimmt stark zu. Dies ist ein Zeichen dafür, dass Gruppen von Angreifern versuchen, infizierte Websites von anderen Gruppen zu übernehmen.

Der Anstieg der Angriffe könnte durch die Verfügbarkeit kostengünstiger Exploit-Kits in Hacking-Foren, eine hohe Erfolgsquote früherer Angriffe und den Zeitpunkt (zwischen Oktober und Dezember stehen E-Commerce-Websites unter Druck, da dies der Zeitraum ist, in dem) verursacht werden Einkommen ist wichtig.).

„Je mehr Bestellungen vorliegen, desto einfacher ist es, einen TrojanOrder zu ignorieren. Einige Händler werden möglicherweise durch eine seltsame Bestellung in ihrem Verkaufsfenster alarmiert, aber die meisten Mitarbeiter werden sie ignorieren. Der November ist aufgrund des hohen Handelsvolumens der ideale Monat, um diesen Angriff durchzuführen. Sansec fährt fort.

Experten fordern Website-Administratoren auf, nach verdächtigen Befehlen zu suchen und ihre Website auf schädlichen Code zu scannen.

„Das erste sichtbare Zeichen ist eine neue Kundendatei oder eine verdächtige Transaktion. Sehen Sie Clients mit Namen oder Adressen wie „system“ oder „pwd“? Bestellungen von jarhovichbig@protonmail.com? Dies ist höchstwahrscheinlich ein TrojanOrder, und Sansec empfiehlt, Ihr System so schnell wie möglich zu inspizieren. schließt den Bericht ab.

Folge mir auf Twitter: @Sicherheitsfragen und Facebook und Mastodon

Pierluigi Paganini

(Sicherheitsfälle Hacken, Magento)





Blog In 2021 joker0o xyz

Commentaires