webshop-penetrationstest

Magento butikker udnyttes nu i en massiv bølge af TrojanOrders angreb

Mindst syv hackinggrupper står nu bag en massiv stigning i ‘TrojanOrders’-angreb rettet mod Magento 2-websteder og udnytter en sårbarhed, der gør det muligt for trusselsaktørerne at kompromittere sårbare servere.

Webstedssikkerhedsfirmaet Sansec advarede om,  at næsten 40% af Magento 2-websteder bliver målrettet mod angrebene, hvor hackinggrupper kæmper mod hinanden om kontrol over et inficeret websted.

Disse angreb bruges til at injicere ondsindet JavaScript-kode på en onlinebutiks websted, der kan forårsage betydelig forretningsforstyrrelse og massivt tyveri af kundekreditkort i en travl Black Friday- og Cyber Monday-periode.

Tendensen forventes at fortsætte frem mod jul, hvor netbutikkerne er mest kritiske og samtidig mest sårbare.

billede-1-49

Diagram of detected TrojanOrders attacksDiagram over opdagede ‘TrojanOrders’ angreb
Kilde: Sansec

TrojanOrders-angrebet

TrojanOrders er navnet på et angreb, der udnytter den kritiske Magento 2 CVE-2022-24086 sårbarhed, der tillader uautoriserede angribere at udføre kode og injicere RAT’er (fjernadgangstrojanere) på ikke-patchede websteder.

Adobe rettede CVE-2022-24086 i februar 2022, men Sansec siger, at mange Magento-websteder stadig skal patches.

“Sansec anslår, at mindst en tredjedel af alle Magento- og Adobe Commerce-butikker ikke er blevet lappet indtil videre,” forklarer en ny rapport fra e-handels-cybersikkerhedsfirmaet SanSec.

Når de udfører TrojanOrders-angreb, opretter hackere typisk en konto på målwebstedet og afgiver en ordre, der indeholder ondsindet skabelonkode i navne-, moms- eller andre felter.

billede-1-50
Udseendet af en ondsindet ordre på backend
Kilde: Sansec

For eksempel vil ovenstående angreb injicere en kopi af ‘health_check.php’ -filen på webstedet, der indeholder en PHP-bagdør, der kan køre kommandoer sendt via POST-anmodninger.

Efter at have fået fodfæste på hjemmesiden, installerer angriberne en fjernadgangstrojan for at etablere permanent adgang og evnen til at udføre mere indviklede handlinger.

I mange tilfælde observeret af Sansec, angriberne scannede for tilstedeværelsen af ‘health_check.php’ efter kompromis for at afgøre, om en anden hacker allerede havde inficeret webstedet, og i så fald erstatte filen med deres egen bagdør.

Angriberne ændrer i sidste ende webstedet til at omfatte ondsindet JavaScript, der stjæler kundernes oplysninger og kreditkortnumre, når de køber produkter i butikken.

Hvorfor er der en stigning efter så lang tid?

Sansecs analytikere mener, at der er flere grunde til, at vi ser en stigning i angreb rettet mod denne sårbarhed.

For det første et stort antal Magento 2-websteder forbliver sårbare over for disse angreb, selv ti måneder efter, at patches blev tilgængelige.

For det andet har PoC (proof of concept) udnyttelser været tilgængelige i lang tid, hvilket gør det muligt for exploit kit-forfattere at indarbejde dem i deres værktøjer og tjene penge ved at sælge dem til lavtuddannede hackere.

Disse Magento-udnyttelser er så rigelige, at de sælges for så lavt som $ 2,500, mens de i begyndelsen af 2022 koster mellem $ 20,000 og $ 30,000.

billede-1-51
Magento 2 udnytte salg fra september 2022
Kilde: Sansec

Endelig er timingen ideel til disse angreb, da websteder ser øget trafik på grund af feriesæsonen, hvilket betyder, at ondsindede ordrer og kodeinjektioner kan være mere tilbøjelige til at blive overset.

Sådan beskytter du dit website (og dine kunder)

Hvis du ikke har anvendt sikkerhedsopdateringen, der adresserer CVE-2022-24086, skal du gøre det så hurtigt som muligt.

Derudover skal du undersøge ordrer for at finde tegn på et TrojanOrder-angreb, som skabelonkode i ordreformularer eller ordrer indsendt af anonyme e-mail-konti ved hjælp af Protonmail, Tutanota osv.

Endelig skal du bruge en backend malware-scanner til at opdage potentielle tidligere infektioner, der har resulteret i RAT-injektioner på dit websted.

Sansec siger Magentos officielle værktøj, Security Scan, skraber kun frontenden, så den ikke kan fange TrojanOrders.

Af denne grund tilbyder sikkerhedsfirmaet en måneds gratis adgang til sin scanner for at hjælpe administratorer med at rense deres websteder.

Husk, at opdage og fjerne malware og PHP-bagdøre stopper kun fremtidige infektioner, hvis Magento 2-patches anvendes, så dette er stadig det mest afgørende skridt at tage. Husk at Penetrationstests ikke renser et websted, men alene detekterer fejl.

Kilde: Sansec, Bleebing Computer
Fotokredit: Sansec og Adobe Magento
Udgiver: ICARE SECURITY A/S

Om forfatteren

Scroll to Top