Kwetsbaarheid Magento-platform maakt card skimming-infecties mogelijk

Het Magento e-commerce-platform bevat een kritische SQL-kwetsbaarheid genaamd PRODSECBUG-2198, die een risico op card skimming-infecties oplevert. Ruim 300.000 commerciële websites lopen gevaar op skimming tot ze een recent uitgebrachte officiële patch van webbeveiligingsbedrijf Sucuri installeren.

“Web-skimmers zijn de meest voorkomende infecties als het gaat om gehackte Magento-websites, dat we zien aan hun hoge Return On Investment (ROI). Voor deze nieuw gevonden kritieke kwetsbaarheid kunnen we dan ook een nieuwe reeks aanvallen verwachten”, aldus Jérôme Segura. De lead malware intelligence analist bij Malwarebytes is er vrij zeker van dat aanvallers de patch actief verwijderen. Daarnaast bestaat ook de kans dat ze wachten op een proof of concept om deze tekortkoming op grote schaal te exploiteren.

Code injecteren

De zogeheten PRODSECBUG-2198 maakt gebruik van SQL-injecties die aanvallers kunnen misbruiken om verificatie vereist te omzeilen. Volgens Ars Technica zouden hackers de fout kunnen gebruike, om het administratieve beheer van accounts over te nemen, ervan uitgaande dat ze gebruikersnamen en wachtwoord-hashes kunnen downloaden én kraken. Vanaf dat punt zouden aanvallers backdoors of skimming-codes kunnen installeren. 

Concurrerende criminele bendes zijn de afgelopen zes maanden druk doende met het infecteren van commerciële websites met JavaScript, waarbij ze creditcardgegevens van kopers stelen. Dat zou het resultaat zijn van exploits van al bekende of zeroday kwetsbaarheden. Het valt dan ook niet uit te sluiten dat een kwetsbaarheid van deze grootte in het wild zal uitgebuit worden met aanvallen van deze zelfde card-skimming-bendes. 

Manipuleren

Marc-Alexandre Montpas, onderzoeker bij Sucuri stelt dat een aanvaller met behulp van SQL-injecties websiteberichten kan manipuleren. Het doel hierachter is om zo zijn eigen opdrachten in een SQL-database te injecteren. Denk dan aan Oracle, MySQL, MariaDB, MSSQL. Via dat beveiligingslek kunnen ze gevoelige gegevens uit de database van een getroffen site ophalen, inclusief zoals al eerder benoemd gebruikersnamen en wachtwoord-hashes. Dat type niet-geverifieerde aanvallen ziet Montpas als zeer ernstig, omdat ze geautomatiseerd kunnen worden. Iets wat het voor hackers gemakkelijk maakt om succesvolle, wijdverspreide aanvallen op kwetsbare websites op te zetten. Het aantal actieve installaties, het gebruiksgemak en de effecten van een geslaagde aanval, maken dit beveiligingslek volgens hem bijzonder gevaarlijk.

Het PRODSECBUG-2198 beveiligingslek, waarvoor inmiddels een officiele patch is uitgebracht, beïnvloedt de volgende versies:

Magento Commerce <1.14.4.1

Magento Open Source <1.9.4.1

Magento <2.1.17

Magento <2.2.8

Magento <2.3.1

Controleren

Om volledig beschermd te zijn tegen alle kwetsbaarheden moeten websites upgraden naar Magento Commerce of Open Source 2.3.1 of 2.2.8. Magento sitebeheerders kunnen controleren of hun site is aangevallen met 2198 exploits, door het access-logbestand te controleren op meerdere hits. Dat kan via: / Catalog / product / frontend_action_synchronize. Volgens de onderzoeker kan een klein aantal hits een legitiem verzoek aanduiden. Meer dan een paar dozijn hits van hetzelfde IP-adres in enkele minuten moet wel als verdacht worden beschouwd.

Lees ook: Adobe breidt Experience Cloud cloud uit met Commerce Cloud