A plataforma de e-commerce da Magento pode enfrentar uma série de ataques depois que hackers publicaram um código que explora uma vulnerabilidade crítica em seus sistemas que pode ser usada para instalar skimmers de cartões de pagamento em sites que ainda não foram atualizados.
PRODSECBUG-2198 é o nome da vulnerabilidade de injeção SQL que os invasores podem explorar sem a necessidade de autenticação.
Qualquer hacker que consiga obter nomes de usuário e descriptografar hashes de senhas que protegem essas credenciais poderia, teoricamente, explorar a falha em assumir o controle administrativo de contas de administrador. Ao ganhar acesso, eles poderiam instalar portas traseiras ou qualquer código de skimming que escolherem.
Este método foi testado por um pesquisador da empresa de segurança Sucuri, que conseguiu fazer engenharia reversa de um patch oficialmente lançado para criar uma exploração funcional de prova de conceito.
Cartão de skimming
Gangues de cibercriminosos competindo entre si passaram os últimos seis meses tentando infectar sites de comércio eletrônico com programas de cartões maliciosos para roubar detalhes de pagamento dos usuários. Eles usaram ataques conhecidos, bem como vulnerabilidades de dia zero para conseguir isso, e essa vulnerabilidade na plataforma de e-commerce do Magento provavelmente será explorada devido ao fato de que mais de 300.000 empresas e comerciantes usam seus serviços.
Malwarebytes, analista líder em inteligência de malware, Jérôme Segura explicou a seriedade da situação para Ars Technicadizendo:
"Não há dúvida de que os agentes de ameaças estão ativamente investindo no patch ou esperando por uma prova de conceito para explorar essa falha em larga escala." Quando se trata de sites pirateados do Magento, os skimmers da web são o tipo mais comum de infecção. Vemos que, devido ao seu alto retorno sobre o investimento, como resultado, podemos esperar outra onda de compromissos à luz dessa vulnerabilidade crítica descoberta recentemente. "
Quando o código da prova de conceito foi publicado, os comentários no código revelaram que ele também poderia ser modificado para obter outras informações do banco de dados Magento, como hashes de senhas de usuário e administrador. Também foi descoberto que a vulnerabilidade existe no Magento desde a versão 1 de seu software. Isso significa que todos os sites Magento que não instalaram a atualização mais recente são potencialmente suscetíveis.
Os desenvolvedores da empresa revelaram e corrigiram recentemente várias vulnerabilidades, incluindo o PRODSECBUG-2198. Existe um patch independente para esta vulnerabilidade, mas como as outras falhas também representam uma ameaça, recomenda-se que todos os clientes atualizem para o Magento Commerce ou o Open Source 2.3.1 ou 2.2.8.
Via Ars Technica
