Magecart Attackers Pioneer Persistent E-Commerce Backdoor
2024/04/06 DarkReading — Magecart 攻撃者たちが、新しい手口を確立しようとしている。それは、自動的にマルウェアをプッシュできる永続的なバックドアを、電子商取引 Web サイト内に隠し持つ戦術である。Sansec の研究者たちによると、その脅威アクターが悪用するのは、Adobe Magento eコマース・プラットフォームに存在する、深刻なコマンド・インジェクションの脆弱性 CVE-2024-20720 (CVSS:9.1) であるという。
実行されるコードに含まれるのは、layout_update データベーステーブル内の、巧妙に細工されたレイアウト・テンプレートである。そして、その中に取り込まれた XML シェルコードにより、Magento CMS 用のコントローラを介して、侵害したサイトにマルウェアを自動的に注入していく。
Sansec は、「攻撃者たちは、Magento のレイアウト・パーサーと beberlei/assert パッケージ (デフォルトでインストールされている) を組み合わせて、システム・コマンドを実行する。このレイアウト・ブロックは、チェックアウト・カートに結びついているため、”/checkout/cart” がリクエストされるたびに、このコマンドが実行される」と述べている。
Magecart アクター (eコマースサイトから決済カードデータをスキミングするサイバー犯罪グループの長期的な統括組織) が、このテクニックを使用して Stripe 決済スキマーを注入して決済データをキャプチャし、攻撃者が管理するサイトへと、それらのデータを流出さることを、Sansec は観察している。
2024年2月に Adobe は、Adobe Commerce と Magento に対してセキュリティ・パッチを提供している。したがって、電子小売業者は、脅威から実を守るために、バージョン 2.4.6-p4/2.4.5-p6/2.4.4-p7 へとアップグレードする必要がある。
Magento に存在する脆弱性 CVE-2024-20720 を悪用する脅威アクターが、”/checkout/cart” がリクエストされるたびに、コマンド。インジェクションを実行するという、怖いシナリオがあるようです。ご利用のチームは、お気をつけください。よろしければ、Magento で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.