Un Falla en seguridad golpear a cientos de Sitios de comercio electrónico por todo el mundo. Según los investigadores de Sansec, una compañía especializada en ciberseguridad, más de 500 tiendas en línea se infectaron con un malware que se había incluido silenciosamente en el código de algunas extensiones para Magento y que, después de permanecer inactivos durante seis años, ha vuelto de repente a golpear en las últimas semanas.
Comprometer la cadena de suministro
El ataque se origina a partir de un compromiso del cadena de suministro que involucró al menos tres proveedores de software – MageSolution (MGS) E Meetanshi – cuyos complementos, ampliamente utilizados para enriquecer la funcionalidad de las tiendas en línea, contenían una puerta trasera capaz de tomar medidas a distancia. Una vez ejecutándose, el malware permite a los piratas informáticos cargar y realizar un código arbitrario en servidores infectados, abriendo así el camino a la inserción de scripts que interceptan a los clientes confidenciales de los clientes, como números de tarjetas de crédito e información personal.
El método utilizado recuerda de cerca las técnicas del grupo Magecartnotificado por sus ataques en plataformas de pago. En este caso, sin embargo, la sofisticación del ataque es golpeada: el código dañino ha permanecido oculto durante seis años, sin ser detectado, antes de tomar medidas y comenzar a golpear. Un detalle que también sorprendió a los analistas, acostumbrados a amenazas mucho más inmediatas.
Un ataque de proporciones colosales
Entre las víctimas también habría una multinacional por valor de 40 mil millones dólares, incluso si no se ha revelado el nombre de la empresa. Sansec ha identificado 21 extensiones infectadas, incluidos complementos utilizados para carros AJAX, listas de deseos, notificaciones de cookies, interruptor de divisas, GDPR y funciones emergentes. Algunos de los proveedores involucrados, como Tigre mi Mgscontinuarían distribuyendo versiones comprometidas de su software, mientras que Meetanshi admitió la violación, pero negó haber difundido el código alterado.
El corazón técnico del ataque se basa en una función llamada AdminLiCENSEque usa un archivo llamado $ Licencia para Inyectar código PHP en el servidor. Si un atacante envía una solicitud con una clave secreta, obtenga acceso completo al sistema y puede realizar cualquier comando.
El impacto es potencialmente enorme: millones de usuarios pueden haber estado expuestos a scripts que actúan directamente en el navegador, interceptando cualquier dato insertado en los formularios de pago. SANSEC recomienda a todos los gerentes de sitios basados en Magento para controlar cuidadosamente las extensiones instaladas y buscar trazas de la Licencia de la función sospechosa $.