Cybercriminelen maken gebruik van verschillende zeroday-lekken in Magento-extensies om webwinkels te hacken en zo code te injecteren die creditcardgegevens van klanten steelt. Magento is een populair platform voor webwinkels. De afgelopen maanden zijn tal van webwinkels en bedrijven in het nieuws gekomen nadat er op de betaalpagina's creditcardskimmers waren aangetroffen die creditcardgegevens opslaan en stelen.
Het ging onder andere om Ticketmaster, British Airways en elektronicawebwinkel Newegg. In sommige gevallen hadden de criminelen directe toegang tot de gehackte website, in andere gevallen werd er gebruik gemaakt van code van derde partijen die op deze websites draaiden. Bij de aanvallen die tegen webwinkels met de kwetsbare Magento-extensies zijn gericht is de aanvalsvector steeds hetzelfde, zo stelt de Nederlandse beveiligingsonderzoeker Willem de Groot.
De aanvallers maken gebruik van een specifieke PHP-functie om hun eigen PHP-code in de website te injecteren. Op deze manier kunnen ze de database of JavaScript-bestanden aanpassen en van een creditcardskimmer voorzien. Magento heeft veel van de kwetsbare PHP-functies in de eigen code vervangen, maar dat geldt niet voor veel populaire extensies, zo stelt De Groot. Hij merkt op dat aanvallers tal van PHP Object Injection-kwetsbaarheden in een groot aantal extensies hebben gevonden en nu actief Magento-webwinkels op deze extensies controleren.
De onderzoeker heeft 20 kwetsbare extensies in kaart gebracht en adviseert webwinkels om die meteen uit te schakelen en de logbestanden op ongeautoriseerde activiteiten te controleren.
Bron: Security.nl