مهاجمان Magecart یک ترفند جدید دارند: پنهان کردن درهای پشتی دائمی در وبسایتهای تجارت الکترونیکی که میتوانند بدافزار را به طور خودکار فشار دهند.
مطابق با محققان در Sansecبازیگران تهدید از یک آسیبپذیری تزریق فرمان حیاتی در پلتفرم تجارت الکترونیک Adobe Magento (CVE-2024-20720، امتیاز CVSS 9.1) سوء استفاده میکنند که امکان اجرای کد دلخواه بدون تعامل کاربر را فراهم میکند.
کد اجرا شده یک «الگوی طرحبندی هوشمندانه» در جدول پایگاه داده layout_update است که حاوی کد پوسته XML است که بهطور خودکار بدافزار را از طریق کنترلکننده سیستم مدیریت محتوای مجنتو (CMS) به سایتهای در معرض خطر تزریق میکند.
Sansec در هشداری گفت: «مهاجم، تجزیه کننده طرح Magento را با بسته beberlei/assert (به طور پیش فرض نصب شده) ترکیب می کند تا دستورات سیستم را اجرا کند. از آنجایی که بلوک طرح بندی به سبد پرداخت گره خورده است، این دستور هر زمان اجرا می شود /checkout/cart درخواست شده است.
Sansec Magecart (یک سازمان چتر طولانی مدت برای گروه های جنایت سایبری که داده های کارت پرداخت اسکیم از سایت های تجارت الکترونیک) از این تکنیک برای تزریق یک اسکیمر پرداخت Stripe استفاده می کند، که داده های پرداخت را به یک سایت تحت کنترل مهاجم جذب و استخراج می کند.
Adobe این اشکال امنیتی را در ماه فوریه در Adobe Commerce و Magento برطرف کرد، بنابراین e-tailers باید نسخه های خود را به 2.4.6-p4، 2.4.5-p6 یا 2.4.4-p7 ارتقا دهند تا از تهدید محافظت شوند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cloud-security/magecart-attackers-pioneer-persistent-ecommerce-backdoor
- :است
- 1
- 7
- 9
- a
- بازیگران
- خشت
- هوشیار
- اجازه می دهد تا
- an
- و
- دلخواه
- هستند
- At
- بطور خودکار
- درپشتی
- پشتيباني
- BE
- زیرا
- مسدود کردن
- هر دو
- اشکال
- by
- توانا
- جلب
- کارت
- وارسی
- اس ام اس
- رمز
- ترکیب
- فرمان
- تجارت
- در معرض خطر
- شامل
- محتوا
- کنترل کننده
- طراحی شده
- بحرانی
- جرایم اینترنتی
- داده ها
- پایگاه داده
- به طور پیش فرض
- تجارت الکترونیک
- اجرا کردن
- اجرا شده
- اعدام
- بهره برداری از
- فوریه
- برای
- از جانب
- گروه ها
- آیا
- HTTPS
- in
- تزریق کنید
- نصب شده
- اثر متقابل
- به
- JPG
- طرح
- نرم افزارهای مخرب
- مدیریت
- جدید
- of
- or
- کدام سازمان ها
- بسته
- پرداخت
- کارت پرداخت
- پیشگام
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- محفوظ
- هل دادن
- مصمم
- سعید
- نمره
- تیم امنیت لاتاری
- صدف
- باید
- سایت
- سایت
- So
- پارچه راه راه
- سیستم
- جدول
- تکنیک
- قالب
- که
- La
- شان
- این
- تهدید
- بازیگران تهدید
- گره خورده است
- به
- فوت و فن
- چتر
- ارتقاء
- کاربر
- با استفاده از
- نسخه
- از طريق
- آسیب پذیری
- وب سایت
- هر زمان که
- که
- با
- در داخل
- بدون
- XML
- زفیرنت