Ongoing Xurum Attacks on E-commerce Sites Exploiting Critical Magento 2 Vulnerability
2023/08/14 TheHackerNews — Adobe の Magento 2 ソフトウェアを使用する E コマース・サイトが、遅くとも 2023年1月以降に発生しているキャンペーンで、継続的に標的とされている。この、Akamai により Xurum と名付けられた攻撃は、Adobe Commerce および Magento Open Source の、すでにパッチ適用されている深刻な脆弱性 CVE-2022-24086 (CVSS:9.8) を利用するものであり、その悪用に成功した攻撃者は、任意のコード実行を可能にするという。この攻撃者は、過去 10 日間に Magento ストアで行われた、注文の支払い統計に興味を持っているらしい。
一部の E コマース・サイトは、 JavaScript ベースのスキマーに感染し、クレジット・カード情報の収集と、リモート・サーバへの送信が行われていることも確認されている。なお、キャンペーンの正確な規模は、現時点では不明である。
Akamai が観測した攻撃チェーンでは、イニシャル・アクセスのために脆弱性 CVE-2022-24086 が武器化され、その後に、悪意の PHP コードが実行され、ホストに関する情報の収集および、Google Shopping Ads コンポーネントを装う wso-ng という Web シェルのドロップへといたるという。
この Web シェル・バックドアは、メモリ内で実行されるだけではなく、攻撃者が HTTP リクエストでクッキー “magemojo000” を送信したときにのみ起動され、過去10 日間にわたる支払い方法に関する情報にアクセスし、それらを流出させる。
この攻撃では、”mageworx” (mageplaza) という名前の、不正な管理ユーザーが作成される。この2つのニックネームは、人気の Magento 2 拡張機能ストアを指しているため、彼らの行動を良性としてカモフラージュするための意図的な試みだと思われる。
WSO Web シェルを進化させたものが wso-ng だと言われているが、被害者が入力した認証情報を盗むための、新しい隠しログイン・ページが組み込まれているようだ。さらに、VirusTotal や SecurityTrails のような正規のツールと統合し、感染したマシンのIP レピュテーションを取得し、同じサーバでホストされている他ドメインの詳細を取得する。
標的とされたオンライン・ショッピング・サイトは、被害者が入力した支払いデータを採取する目的で、スキマー・コードがチェック・アウトページに挿入される。この手口は、Magecartとして知られる一連の攻撃により、長年にわたり採用されてきたものだ。
研究者たちは、「この攻撃者は、インターネット全体に無差別に悪用策をばらまくのではなく、特定の Magento 2 インスタンスを標的にするなどの、綿密なアプローチを示している。彼らは、Magento に関する高度な専門知識を有し、その内部を理解し、攻撃インフラを設定している。つまり、実際のターゲット上でエクスプロイトをテストするために、かなりの時間を費やしている」と述べている。
この、Magento の脆弱性 CVE-2022-24086 ですが、お隣のキュレーション・チームに聞いてみたところ、最初の報告は 2022年2月だったとのことでした。また、2023/01/18 の「Magento の1年前の脆弱性 CVE-2022-24086:対策の混乱による積極的な悪用が止まらない」に記されているように、脆弱性に対応しないオンライン・ショップが多数あるようです。さまざまな規模のショップがあるはずですが、そのセキュリティ体制が問われているように思えます。
IoT OT Security News 
You must be logged in to post a comment.