يمتلك مهاجمو Magecart خدعة جديدة: إخفاء الأبواب الخلفية المستمرة داخل مواقع التجارة الإلكترونية القادرة على دفع البرامج الضارة تلقائيًا.
وفقًا الباحثون في سانسيك، تستغل الجهات الفاعلة في التهديد ثغرة أمنية بالغة الأهمية في نظام Adobe Magento للتجارة الإلكترونية (CVE-2024-20720، درجة CVSS 9.1)، والتي تسمح بتنفيذ تعليمات برمجية عشوائية دون تدخل المستخدم.
التعليمات البرمجية التي تم تنفيذها عبارة عن "قالب تخطيط تم تصميمه بذكاء" في جدول قاعدة بيانات Layout_update، والذي يحتوي على كود Shell XML الذي يقوم تلقائيًا بإدخال البرامج الضارة في المواقع المخترقة عبر وحدة التحكم لنظام إدارة محتوى Magento (CMS).
وقال Sansec في تنبيه: "يجمع المهاجمون بين محلل تخطيط Magento وحزمة beberlei/assert (المثبتة افتراضيًا) لتنفيذ أوامر النظام". "نظرًا لأن كتلة التخطيط مرتبطة بعربة الدفع، يتم تنفيذ هذا الأمر في أي وقت /الخروج/العربة مطلوبة."
لاحظت شركة Sansec أن Magecart (منظمة شاملة طويلة الأمد لمجموعات الجرائم الإلكترونية سرقة بيانات بطاقة الدفع من مواقع التجارة الإلكترونية) باستخدام هذه التقنية لإدخال مقشدة الدفع Stripe، التي تلتقط بيانات الدفع وتسربها إلى موقع يسيطر عليه المهاجم.
قامت Adobe بحل الخلل الأمني في فبراير في كل من Adobe Commerce وMagento، لذلك يجب على تجار التجزئة الإلكترونيين ترقية إصداراتهم إلى 2.4.6-p4، أو 2.4.5-p6، أو 2.4.4-p7 للحماية من التهديد.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud-security/magecart-attackers-pioneer-persistent-ecommerce-backdoor
- :يكون
- 1
- 7
- 9
- a
- الجهات الفاعلة
- أدوبي
- ملاحظه
- يسمح
- an
- و
- التعسفي
- هي
- At
- تلقائيا
- الباب الخلفي
- خلفي
- BE
- لان
- حظر
- على حد سواء
- علة
- by
- قادر على
- يلتقط
- فيزا وماستركارد
- الدفع
- سم
- الكود
- دمج
- أمر
- تجارة
- تسوية
- يحتوي
- محتوى
- مراقب
- وضعت
- حرج
- جرائم الإنترنت
- البيانات
- قاعدة البيانات
- الترتيب
- التجارة الإلكترونية
- تنفيذ
- أعدم
- استغلال
- فبراير
- في حالة
- تبدأ من
- مجموعات
- يملك
- HTTPS
- in
- حقن
- تثبيت
- تفاعل
- إلى
- JPG
- تصميم
- البرمجيات الخبيثة
- إدارة
- جديد
- of
- or
- منظمة
- صفقة
- وسائل الدفع
- بطاقة الدفع
- رائد
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- محمي
- دفع
- حل
- قال
- أحرز هدفاً
- أمن
- قذيفة
- ينبغي
- الموقع
- المواقع
- So
- شريط
- نظام
- جدول
- تقنية
- قالب
- أن
- •
- من مشاركة
- التهديد
- الجهات التهديد
- مربوط
- إلى
- خدعة
- مظلة
- ترقية
- مستخدم
- استخدام
- الإصدارات
- بواسطة
- الضعف
- المواقع
- كلما
- التي
- مع
- في غضون
- بدون
- XML
- زفيرنت