Hackers apuntan a 0 días en extensiones de Magento de terceros

Más de dos docenas de complementos de comercio electrónico de terceros contienen vulnerabilidades de día cero que se están explotando en una campaña reciente de Magecart.

Los delincuentes detrás de la pandilla Magecart han cambiado de táctica y ahora están atacando a casi dos docenas de vulnerabilidades sin parches encontradas en complementos de terceros utilizados en la plataforma de comercio electrónico de Magento.

Anteriormente, el cybergang de Magecart se había centrado en el núcleo de Magento, utilizando estrategias de ataque como el craqueo de contraseñas de fuerza bruta de los sistemas front-end para comprometer los sitios de comercio electrónico. Pero ahora, los atacantes de Magecart se han fijado en las vulnerabilidades del preprocesador de hipertexto (PHP) que se encuentran en componentes externos desarrollados por terceros para la plataforma, según el consultor de seguridad independiente Willem de Groot.

Magento en sí mismo es bastante seguro, dijo de Groot en una entrevista con Threatpost. “La plataforma tiene la seguridad adecuada, con administración de versiones y un programa de recompensas de errores. Pero, un sistema es tan seguro como su eslabón más débil. Y todos los componentes de software adicionales que la gente instala con sus tiendas con Magento son el enlace más débil .

En su análisis reciente de Magecart, publicado el martes, de Groot descubrió que el grupo delictivo todavía está utilizando la misma técnica probada de inyección de objetos (POI) de PHP que ha utilizado para comprometer otros sitios web de comercio electrónico y WordPress, Joomla y Drupal. sistemas de gestión de contenidos.

Parece que Magento ha acumulado una gran cantidad de extensiones, y Magecart ha encontrado numerosas vulnerabilidades de PDI dentro de ellas, dijo. Magtart agregó que no solo se ha observado que Magecart ha investigado números masivos de tiendas Magento en busca de extensiones vulnerables, sino que también las ha utilizado para violar un puñado de sitios.

Este vector de ataque abusa de la función unserialize () de PHP para inyectar su propio código PHP en el sitio. Con eso, son capaces de modificar la base de datos o cualquier archivo de Javascript. A partir de hoy, muchas aplicaciones populares de PHP todavía usan unserialize (). Magento reemplazó la mayoría de las funciones vulnerables por json_decode () en el parche 8788, pero muchas de sus extensiones populares no lo hicieron

…Para leer más, siga el link del idioma que prefiera