לתוקפי Magecart יש טריק חדש: להחביא דלתות אחוריות מתמשכות באתרי מסחר אלקטרוני שמסוגלים לדחוף תוכנות זדוניות באופן אוטומטי.
לפי חוקרים בסנסק, שחקני האיום מנצלים פגיעות קריטית של הזרקת פקודה בפלטפורמת המסחר האלקטרוני של Adobe Magento (CVE-2024-20720, ציון CVSS של 9.1), המאפשרת ביצוע קוד שרירותי ללא אינטראקציה של המשתמש.
הקוד המבוצע הוא "תבנית פריסה בעלת מבנה חכם" בטבלת מסד הנתונים layout_update, המכילה קוד מעטפת XML שמחדיר אוטומטית תוכנות זדוניות לאתרים שנפגעו באמצעות הבקר של מערכת ניהול התוכן של Magento (CMS).
"התוקפים משלבים את מנתח פריסת Magento עם חבילת beberlei/assert (מותקנת כברירת מחדל) כדי לבצע פקודות מערכת", אמר Sansec בהתראה. "מכיוון שבלוק הפריסה קשור לעגלת התשלום, הפקודה הזו מבוצעת בכל פעם /checkout/cart מתבקש."
Sansec צפה ב- Magecart (ארגון גג ותיק לקבוצות פשעי סייבר להרחיק נתוני כרטיסי תשלום מאתרי מסחר אלקטרוני) באמצעות טכניקה זו כדי להחדיר רחפן תשלום Stripe, אשר לוכד ומוציא נתוני תשלום לאתר הנשלט על ידי תוקף.
אדובי פתרה את באג האבטחה בפברואר הן ב-Adobe Commerce והן במג'נטו, כך שצרכנים אלקטרוניים צריכים לשדרג את הגרסאות שלהם ל-2.4.6-p4, 2.4.5-p6 או 2.4.4-p7 כדי להיות מוגנים מפני האיום.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cloud-security/magecart-attackers-pioneer-persistent-ecommerce-backdoor
- :הוא
- 1
- 7
- 9
- a
- שחקנים
- Adobe
- ערני
- מאפשר
- an
- ו
- שרירותי
- ARE
- At
- באופן אוטומטי
- דלת אחורית
- דלתות אחוריות
- BE
- כי
- לחסום
- שניהם
- חרק
- by
- מסוגל
- לוכדת
- כרטיס
- לתשלום
- CMS
- קוד
- לשלב
- הפקודה
- מסחר
- התפשר
- מכיל
- תוכן
- בקר
- מעוצב
- קריטי
- פשעי אינטרנט
- נתונים
- מסד נתונים
- בְּרִירַת מֶחדָל
- מסחר אלקטרוני
- לבצע
- יצא לפועל
- הוצאת להורג
- מנצל
- פבואר
- בעד
- החל מ-
- קבוצה
- יש
- HTTPS
- in
- לְהַזרִיק
- מותקן
- אינטראקציה
- אל תוך
- jpg
- מערך
- תוכנות זדוניות
- ניהול
- חדש
- of
- or
- ארגון
- חבילה
- תשלום
- כרטיס תשלום
- חלוץ
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מוּגָן
- דוחף
- נפתרה
- אמר
- ציון
- אבטחה
- פָּגָז
- צריך
- אתר
- אתרים
- So
- פס
- מערכת
- שולחן
- טכניקה
- תבנית
- זֶה
- השמיים
- שֶׁלָהֶם
- זֶה
- איום
- איום שחקנים
- קָשׁוּר
- ל
- טריק
- מטריה
- שדרוג
- משתמש
- באמצעות
- גירסאות
- באמצעות
- פגיעות
- אתרים
- בכל פעם
- אשר
- עם
- בתוך
- לְלֹא
- XML
- זפירנט