マージカートの波が Magento 1 サイトを襲撃:500以上の eコマースに大量侵入

Wave of MageCart attacks target hundreds of outdated Magento sites

2022/02/09 BleepingComputer — Sansec のアナリストたちは、Magento 1 プラットフォームを使用している 500以上のeコマース・ストアへの大量侵入の原因を突き止め、それら全ての eコマース・ストアに対して、ある1つのドメインからクレジットカード・スキマーがロードされていることを明らかにした。Sansec によると、先月末の同じ日に、同社のクローラーが 374件の感染を発見し、すべてが同一のマルウェアを使用していたことから、この攻撃が明らかになった。

脅威アクターたちがマルウェアをロードしたドメインは、現在はオフラインになっている naturalfreshmall[.]com であり、その目的は、標的となったオンライン・ショップから顧客のクレジットカード情報を盗むことだった。

バックドアの設置

Sansec 調査によると、攻撃者は Quickview プラグインの既知の脆弱性を悪用し、不正な Magento 管理者ユーザーを注入し、最高権限でコードを実行させていた。

この不正行為は、customer_eav_attribute テーブルに検証ルールを追加することがトリガーとなる。続いて、ホストアプリを騙して悪意のオブジェクトを作成させ、そのオブジェクトを使って単純な バックドア (api_1.php) を作成する。eコマース・ストアの新規顧客に対する検証ルールが、この攻撃の巧妙な部分であり、サインアップ・ページにペイロードが注入されるキッカケとなる。

ハッカーは、クレジットカード・スキマーを注入するだけではなく、api_1.php のバックドアを利用してリモートサーバー上でコマンドを実行し、サイトを完全に乗っ取ることもできる。しかし、実際には、MageCart のアタック (スキマー) を利用して決済情報を吸い上げる方が、 脅威を与える側にとってメリットが大きいため、それを目的としたのが、今回の攻撃である。

Sansec によると、極端なケースでは、1つの eコマース・プラットフォームに 19個ものバックドアが仕込んでいたとのことだ。

依然として Magento 1 は使われている

2020年6月30日に Adobe は、人気の eコマース・プラットフォーム Magento 1 ブランチのサポートを終了したが、いまだに何千ものサイトが旧式のソフトウェアを使用している。これにより、さまざまなハッカーの攻撃を受けやすいサイトが増え、ひいては顧客の機密情報を危険にさらすことになる。これらの情報には、クレジットカード番号/配送先住所/氏名/電話番号/電子メールアドレスなどの、オンラインでの注文に必要な情報が含まれている。

すべての Magento 管理者は、このプラットフォームの最新バージョンを使用していることを確認し、サポートが終了した旧バージョンを使用している場合は、アップグレードが強く推奨される。

2018年から Adobe 傘下となった Magento ですが、現行バージョンは Magento 2.x であり、2015年から商用バージョンが提供されているとのことです。そして、Magento 2 と Magento 1 は共存していると、Wikipedia には記されています。この記事で説明されているのは、Magento 1 を使用している eコマース・ストアへの侵入ですが、旧バージョンだからと、簡単には片付けられない問題のように思えます。

%d bloggers like this: