Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Magecart эксплуатирует уязвимости в по меньшей мере 20 расширениях для Magento

Magecart эксплуатирует уязвимости в по меньшей мере 20 расширениях для Magento


24.10.2018

Magecart эксплуатирует уязвимости в по меньшей мере 20 расширениях для Magento

Участники группировки Magecart, специализирующейся на хищении данных банковских карт пользователей, эксплуатируют уязвимости в по меньшей мере 20 расширениях для Magento. Злоумышленники действуют по одному и тому же сценарию: взламывают различные сайты и внедряют код JavaScript на страницы оплаты, похищая вводимые пользователями финансовые данные (номера банковских карт, имена, адреса и пр.). Ранее группировку связывали с утечкой данных клиентов компании TicketMaster, а также атаками на британского авиаперевозчика British Airways, компанию Feedify и крупного американского ретейлера Newegg.

 Независимый эксперт в области безопасности Виллем де Гроот (Willem de Groot), отслеживающий недавнюю кампанию Magecart, смог идентифицировать только два расширения из 20, задействованных группировкой, - Webcooking_SimpleBundle и TBT_Rewards. Разработчики первого уже выпустили патч, исправляющий уязвимости, а расширение TBT_Rewards специалист рекомендует удалить, поскольку оно заброшено и патчей для него не предвидится.

 Де Гроот обратился к сообществу экспертов за помощью в опознании остальных 18 проблемных расширений. Перечень размещен ниже.

 По словам исследователя, уязвимости во всех выявленных 20 расширениях практически идентичны друг другу. Во всех случаях атакующие эксплуатируют функцию unserialize() для внедрения вредоносного кода на сайты жертв. Хотя команда Magento заменила функцию PHP unserialize() на json_decode() еще в октябре 2016 года, не все разработчики расширений последовали данному примеру.

 Хотя атаки на TicketMaster, British Airways и Newegg были делом одной и той же киберпреступной группировки, де Гроот уверен, что организатором новой кампании является другая группа. По его данным, в настоящее время подобный сценарий используют сразу несколько преступных групп.

Список проблемных расширений:

POST /index.php/advancedreports/chart/tunnel/ POST /index.php/aheadmetrics/auth/index/ POST /index.php/ajax/Showroom/submit/ POST /index.php/ajaxproducts/index/index/ POST /index.php/bssreorderproduct/list/add/ POST /index.php/customgrid/index/index/ POST /index.php/customgrid/Blcg/Column/Renderer/index/index/ POST /index.php/customgrid/Blcg_Column_Renderer_index/index/ POST /index.php/customgrid/index/index/ POST /index.php/emaildirect/abandoned/restore/ POST /index.php/freegift/cart/gurlgift/ POST /index.php/gwishlist/Gwishlist/updategwishlist/ POST /index.php/layaway/view/add/ POST /index.php/madecache/varnish/esi/ POST /index.php/minifilterproducts/index/ajax/ POST /index.php/multidealpro/index/edit/ POST /index.php/netgocust/Gwishlist/updategwishlist/ POST /index.php/prescription/Prescription/amendQuoteItemQty/ POST /index.php/qquoteadv/download/downloadCustomOption/ POST /index.php/rewards/customer/notifications/unsubscribe/

[Alreadu identified as "TBT_Rewards"] POST /index.php/rewards/customer_notifications/unsubscribe/

 [Alreadu identified as "TBT_Rewards"] POST /index.php/rewards/notifications/unsubscribe/

[Already identified as "TBT_Rewards"] POST /index.php/simplebundle/Cart/add/ [Already identified as "Webcooking_SimpleBundle"]

POST /index.php/tabshome/index/ajax/ POST /index.php/vendors/credit/withdraw/review/ POST /index.php/vendors/credit_withdraw/review/ POST /index.php/vendors/withdraw/review/

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.