Ostrom alatt áll több ezer webáruház

A Magento alapú webáruházak közül sok meglehetősen nehéz időszakon van túl. Az elmúlt napokban ugyanis rekordmennyiségű kibertámadás sújtotta ezeket a webshopokat.
 

Az Adobe Magento egy széles körben használt e-kereskedelmi platform, amelynek közösségi (ingyenes) és fizetős változata is létezik. Világszerte sok ezer webáruház alapját adja a Magento technológia, így nem csoda, hogy a kiberbűnözés is rendszeresen célkeresztbe állítja. Teszi mindezt azért is, mert e webáruházak az egyforma (vagy nagyon hasonló) kódbázisok miatt viszonylag egyszerűen támadhatók tömegesen, automatizált módon. Az elmúlt napokban is egy ilyen támadássorozat vette kezdetét, amelynek megközelítőleg kétezer webáruház esett áldozatául.
 
A feketekalaposok akciójára ezúttal a hitelkártya-biztonsággal foglalkozó Sanguine Security (Sansec) cég biztonsági kutatói figyeltek fel. A vizsgálataik során kiderült, hogy az elkövetők ezúttal is úgynevezett MageCart típusú támadásokat indítottak, amik során hitelkártyákkal kapcsolatos adatokat igyekeztek bezsebelni. Ehhez pedig olyan kódokat is használtak, amikkel korábban a szakértők még nem találkoztak, vagyis ebből a szempontból a támadások egy új hullámáról beszélhetünk.
 
Az elemzések szerint a támadások múlt hét péntekén indultak, amikor rövid időn belül 10 webshop kódját sikerült kompromittálniuk az elkövetőknek. A hét végére azonban a térdre kényszerített webáruházak száma már meghaladta az 1900-at. A Sansec úgy nyilatkozott, hogy 2015 óta - amióta figyeli az e-kereskedelmi rendszerek ellen indított támadásokat - nem volt meg ekkora volumenű, automatizáltan elkövetett támadássorozat. A legutóbbi tavaly júliusban volt megfigyelhető, akkor azonban az áldozatul esett webáruházak száma ezer alatt maradt.
 
A Sansec vizsgálata szerint az elkövetők - különféle sebezhetőségeken keresztül - az érintett szerverekre, tárhelyekre egy mysql.php fájlt töltöttek fel, amelyen keresztül web shellhez jutottak. Ezt követően további kódokat tudtak lementeni a kiszolgálókra. Amennyiben az érintett szerveren a Magento 1.x kiadása futott, akkor egy prototype.js nevű JavaScript állomány segítségével követték el az adatlopásokat, míg Magento 2.x esetén egy manipulált, jquery.js fájl volt a segítségükre. Amikor a vásárló a "fertőzött" webshopok valamelyikében eljutott a rendelés megerősítéséig, akkor ezek a kódok aktivizálódtak, és továbbították a webáruház felületén megadott fizetési adatokat egy távoli kiszolgálóra.
 
Védelmi megfontolások
 
A Sansec - és a sokasodó MageCart támadás miatt már a VISA is - azt javasolja, hogy a Magento alapú webáruházak üzemeltetői minél hamarabb térjenek át a 2.x-es verziók használatára, mivel az 1.x-es „sorozat” júniustól nem kap frissítéseket. Emellett az adatok azt mutatják, hogy a 2-es kiadások nehezebben támadhatók, így az elkövetők továbbra is inkább a régebbi alapokon nyugvó webshopokat „kedvelik”. Nyilván ez nem jelenti azt, hogy az újabb verziók esetében ne lennének kockázatok, ezért azok frissítésére, valamint megfelelő védelmére is komoly figyelmet kell szentelni.