Critical Magento vulnerability targeted in new surge of attacks
2022/09/22 BleepingComputer — Magento 2 に存在する脆弱性 CVE-2022-24086 を狙う、ハッキング行為が急増している。Magento は、Adobe が所有するオープンソースの eコマースプラットフォームであり、全世界の約17万件のオンライン・ショッピング・サイトで利用されている。この脆弱性 CVE-2022-24086 は、2022年2月に発見され、パッチが適用されているが、すでに侵害に成功した脅威アクターにより、野放状態で悪用されている。その当時に、CISA はサイト管理者に対して、提供されたセキュリティ更新プログラムを適用するよう、アラートで促していた。
その数日後に、セキュリティ研究者が CVE-2022-24086 の PoC エクスプロイトを公開したことで、大規模な悪用への道が開かれた。今日に Sansec が発表したレポートによると、この重要なテンプレートの脆弱性は、アンダーグラウンドのハッカーたちの人気者になってきた。
3種類の攻撃形態
Sansec のアナリストは、脆弱性 CVE-2022-24086 の悪用に成功した後に、脆弱なエンドポイントに RAT を注入するための、3種類の攻撃手法を観測しているという。Magento のチェックアウト・フローは自動化が難しく、攻撃の効果が低下する可能性があるため、この攻撃は対話式になっている。
最初の攻撃は、顧客の first/last name 欄に悪意のテンプレート・コードを注入して、ターゲット・プラットフォーム上で新たな顧客アカウントを作成し、注文を行うことから始まる。
注入されたコードは、プロセスとしてバック・グラウンドで起動する、Linux 実行ファイル “223sam.jpg” をダウンロードするコマンドにデコードされる。それは RAT であり、ブルガリア存在するサーバに通信してコマンドを受け取りる。
Sansec はレポートの中で、「この攻撃方法は、Adobe Commerce Cloud プラットフォームにおける、読み取り専用のコードベースや、pub/media 下での PHP 実行制限などの、一部のセキュリティ機能を突破している。この RAT は、データベースと実行中の PHP プロセスへのフルアクセス権を持ち、マルチ・サーバ・クラスタ環境の、あらゆるノードへのインジェクションを可能にする」と説明している。
2番目の攻撃は、注文の VAT フィールドにテンプレート・コードを取り込むことで、PHP バックドアである “health_check.php” を注入するものだ。このコードは、POST リクエストを経由してコマンドを受け付ける、新たなファイル “pub/media/health_check.php” を作成する。
3番めの攻撃方法は、”generated/code/Magento/Framework/App/FrontController/Interceptor.php” を、不正なバックドア付きバージョンに置き換えるための、テンプレート・コードを使用するものだ。
研究者たちは、Magento 2 のサイト管理者に対して、このサポート・ページのセキュリティ・ガイドラインに従い、ソフトウェアを最新バージョンにアップグレードするよう呼びかけている。
この脆弱性は、2月14日の「Adobe Magento の深刻な脆弱性 CVE-2022-24086 が FIX:RCE の可能性」でも取り上げています。最近の eコマース系のインシデントとしては、「PrestaShop のゼロデイ CVE-2022-36408 の悪用:オンラインストアから決済データを窃取」もあります。また、9月11日には「中規模リテール 422社の調査:2021年には 77% がランサムウェアの被害に遭った」という、ちょっと驚きの調査報告もありました。今日の記事を読むと、攻撃の手法も多様化して、洗練されてきているようです。脆弱性 CVE-2022-24086 を、ご確認ください。
IoT OT Security News 
You must be logged in to post a comment.