Durvulnak a webshopok elleni támadások

​A karácsonyi bevásárlási időszak közeledtével világszerte egyre durvább támadások érik a webáruházakat.
 

Ahogy az év végéhez közeledve növekszik a webáruházak forgalma, a kiberbűnözők úgy kezdik átcsoportosítani az erőforrásaikat a kereskedelmi szektor elleni támadásokra. Teszik ezt egyrész a felhasználók, másrészt a webshopok elleni akcióik felpörgetése érdekében. A Sansec biztonsági kutatói ezúttal az ilyen jellegű támadások veszélyeire hívták fel a figyelmet.
 
A szakemberek a Magentora épülő webáruházakat ért fenyegetettségeket elemezték, és megállapították, hogy ebben a hónapban szignifikánsan nőtt ezen webshopok elleni fenyegetettségek száma. Már legalább hét jelentős kiberbanda esetében bizonyosodott be, hogy Magento alapú rendszereket állítottak célkeresztbe. Ráadásul ezek a hackercsoportok egymással is versengenek annak érdekében, hogy minél több, nem megfelelően védett shopot tudjanak térde kényszeríteni, illetve adatokat lopni.
 
A vizsgálatok szerint az elkövetők szinte kizárólag a CVE-2022-24086 azonosítóval ellátott sérülékenységet igyekeznek a saját javukra fordítani. Ezt a biztonsági rést az Adobe fejlesztői már idén februárban befoltozták, de a hibajavításokat sok webáruház nem telepítette. Mivel nem egy új keletű sebezhetőségről van szó, ezért az alvilág szereplőinek bőven volt idejük arra, hogy kifejlesszék az exploitokat, illetve egyszerűen használható támadóeszközöket alakítsanak ki. A kockázatokat pedig az is fokozza, hogy ezek az exploitok az év elején még 20-30 ezer dollárba kerültek a netes feketepiacon, manapság pedig már 2.500 dollár körüli áron is hozzá lehet jutni olyan kulcsrakész támadóeszközökhöz, amelyek bevetése nem igényel különösebb szakértelmet.
 
A TrojanOrders-ként is emlegetett támadások közös jellemzője, hogy a támadók első lépésként egy új felhasználói (vásárlói) fiókot regisztrálnak a kiszemelt webáruházba, majd rendelnek egy terméket. Ennek során az űrlapadatok között (például a név vagy az ÁFA mezőkbe) speciálisan összeállított kódot illesztenek, ami a Magento sebezhetősége miatt alkalmat ad arra, hogy kártékony kódokat helyezzenek el az adott webshopot kiszolgáló szerveren. Ezt gyakorta a health_check.php fájl révén teszik meg, ami aztán hátsó kapuként szolgál számukra. A támadások során a kiszolgálókra olyan károkozókat másolhatnak fel, amelyek révén megbéníthatják az áruházak működését, vagy felhasználói adatokat szivárogtathatnak ki.
 
A Sansec biztonsági szakemberei minden üzemeltető számára azt tanácsolták, hogy mihamarabb frissítsék a webáruházakat, hiszen ezáltal komoly károk válhatnak megelőzhetővé.