Печално известната киберпрестъпна организация, занимаваща се със скимиране на плащания, използва CVE-2024-20720 в Magento за нов подход за кражба на данни от карти.

Нападателите на Magecart разполагат с нов трик: скриване на постоянни задни вратички в уебсайтовете за електронна търговия, които са способни да прокарват автоматично зловреден софтуер.

Според изследователи от Sansec  заплахата използват критична уязвимост за инжектиране на команди в платформата за електронна търговия Adobe Magento (CVE-2024-20720, CVSS оценка 9,1), която позволява произволно изпълнение на код без взаимодействие с потребителя.

Изпълняваният код е „умело изработен шаблон за оформление“ в таблицата на базата данни layout_update, която съдържа XML шел код, който автоматично инжектира зловреден софтуер в компрометирани сайтове чрез контролера за системата за управление на съдържанието (CMS) Magento.

„Атакуващите комбинират парсера за оформление на Magento с пакета beberlei/assert (инсталиран по подразбиране), за да изпълняват системни команди“, се казва в предупреждението на Sansec. „Тъй като блокът за оформление е свързан с количката за покупки, тази команда се изпълнява всеки път, когато се поиска <store>/checkout/cart.“

Sansec наблюдава, че Magecart (отдавна действаща организация, обединяваща киберпрестъпни групи, които скимират данни за платежни карти от сайтове за електронна търговия) използва тази техника, за да инжектира скимиращо устройство за плащания на Stripe, което улавя и ексфилтрира данни за плащанията към контролиран от нападателя сайт.

Adobe разреши грешката в сигурността през февруари както в Adobe Commerce, така и в Magento, така че електронните търговци на дребно трябва да обновят версиите си до 2.4.6-p4, 2.4.5-p6 или 2.4.4-p7, за да бъдат защитени от заплахата.