Các nhóm tin tặc đã được tìm thấy khai thác một lỗ hổng nghiêm trọng trong Magento để tiêm một cửa hậu liên tục vào các trang web thương mại điện tử.
Cuộc tấn công tận dụng CVE-2024-20720 (điểm CVSS: 9.1), được Adobe mô tả là trường hợp "vô hiệu hóa không đúng các yếu tố đặc biệt" có thể mở đường cho việc thực thi mã tùy ý.
Nó đã được công ty giải quyết như một phần của các bản cập nhật bảo mật được phát hành vào ngày 13 tháng 2 năm 2024.
Sansec cho biết họ đã phát hiện ra một "mẫu bố cục được tạo ra một cách khéo léo trong cơ sở dữ liệu" đang được sử dụng để tự động tiêm mã độc để thực hiện các lệnh tùy ý.
"Những kẻ tấn công kết hợp trình phân tích cú pháp bố cục Magento với gói beberlei/assert (được cài đặt theo mặc định) để thực hiện các lệnh hệ thống", công ty cho biết.
"Vì khối bố cục được gắn với giỏ hàng thanh toán, lệnh này được thực thi bất cứ khi nào <store>/checkout/cart được yêu cầu."
Lệnh được đề cập là sed, được sử dụng để chèn một backdoor thực thi mã, sau đó chịu trách nhiệm cung cấp skimmer thanh toán Stripe để nắm bắt và trích xuất thông tin tài chính đến một cửa hàng Magento bị xâm nhập khác.
Sự phát triển này diễn ra khi chính phủ Nga đã buộc tội sáu người vì sử dụng phần mềm độc hại skimmer để đánh cắp thẻ tín dụng và thông tin thanh toán từ các cửa hàng thương mại điện tử nước ngoài ít nhất kể từ cuối năm 2017.
Các nghi phạm là Denis Priymachenko, Alexander Aseyev, Alexander Basov, Dmitry Kolpakov, Vladislav Patyuk và Anton Tolmachev. Recorded Future News báo cáo rằng các vụ bắt giữ đã được thực hiện một năm trước, trích dẫn các tài liệu của tòa án.
"Kết quả là, các thành viên của nhóm tin tặc đã chiếm hữu bất hợp pháp thông tin về gần 160 nghìn thẻ thanh toán của công dân nước ngoài, sau đó họ bán chúng thông qua các trang web ngầm", Văn phòng Tổng công tố Liên bang Nga cho biết.