Risiko for ny bølge af skimming-angreb rettet mod Magento-webshops
Offentliggørelsen af hackerkode, der gør det muligt at udnytte en alvorlig sikkerhedsbrist i Magento, har fået både Magento-udviklere og IT-sikkerhedseksperter til tasterne.
Magento er et populært mål for hackere. Inden for det seneste halve år er Magento-webshops blevet udsat for utallige forsøg på tyveri af kreditkortoplysninger, såkaldte ”skimming”-angreb.
I slutningen af februar fortalte vi her på Ehandel.dk om hackerangrebene, som lagde Bahnes webshop ned i flere måneder. I dette tilfælde var der tale om udnyttelse af ”zero-day”-sårbarheder i Magento-plugins, altså sikkerhedshuller, som bliver opdaget og udnyttet af IT-kriminelle, inden udvikleren af det pågældende plugin bliver bekendt med sårbarheden.
I modsætning til sikkerhedsbristen, som blev udnyttet i angrebene på Bahne, ligger den nyopdagede sikkerhedsbrist i Magento core, altså selve Magento-platformen. Og ikke nok med det. Sårbarheden har eksisteret lige siden Magento version 1. Det betyder, at næsten alle Magento-webshops, der ikke har installeret den nyeste opdatering, er modtagelige for angreb.
Ifølge Marc-Alexandre Montpas fra websikkerhedsfirmaet Sucuri er den nyopdagede sikkerhedsbrist særligt alvorlig, fordi en hacker kan tiltvinge sig adgang uden nogen form for autentificering.
LÆS OGSÅ: Sådan penetrerer hackerne din webshop
– SQL-injections gør det muligt for en hacker at injicere deres egne kommandoer i en SQL-database (Oracle, MySQL, MariaDB, MSSQL). Ved hjælp af denne sårbarhed kan de hente følsomme data fra databasen, herunder brugernavne og adgangskode-hashes. Uautentificerede angreb, som det, der ses i netop denne SQL-injection-sårbarhed, er meget alvorlige, fordi de kan automatiseres, hvilket gør det let for hackere at angribe et stort antal sårbare websites, siger Marc-Alexandre Montpas.
Sikkerhedsopdatering til alle Magento-versioner
Eftersom det omtalte sikkerhedshul har eksisteret siden Magento 1, har Magento nu udgivet sikkerhedsopdateringer til alle understøttede versioner af Magento. Opdateringerne rummer rettelser af mere end 30 sikkerhedsbrister, men ud over ovennævnte sårbarhed kræver ingen af dem autentificering fra hackerens side og betragtes derfor ikke som alvorlige.
Risiko for flere skimmer-angreb
Når først en hacker har fundet en sårbarhed i et system som Magento og fundet frem til, hvordan sårbarheden kan udnyttes, kan hackeren forholdsvis let angribe et stort antal webshops. Angreb på en platform som Magento, der bruges af 300.000 webshops, kan således blive en særdeles indbringende forretning for en hacker.
Jérôme Segura, malware-analytiker hos Malwarebytes siger til Ars Technica:
– Når man ser på hackede Magento-websites, er webskimmere den mest almindelige infektionstype på grund af deres høje investeringsafkast. Som følge heraf kan vi forvente en ny bølge af kompromitterede webshops i lyset af denne nyligt konstaterede kritiske sårbarhed.
LÆS OGSÅ: Tusindvis af webshops risikerer samme type hackerangreb som Bahne
Vær på vagt
Ilia Kolochenko, administrerende direktør i IT-sikkerhedsformaet High-Tech Bridge opfordrer til at holde godt øje med sin Magento-installation:
– Ved selv den mindste mistanke bør man undersøge grundigt, om systemet er blevet hacket. Hackere nu om dage ved, hvordan de skal slette sporene efter sig, men de kan uforvarende komme til at slette lidt for meget og således afsløre deres tilstedeværelse, siger Ilia Kolochenko, administrerende direktør i IT-sikkerhedsselskabet High-Tech Bridge, siger Ilia Kolochenko til SC Magazine.
Hvem er mest udsat?
Mange af de webshops, som bruger Magento, har hyret et bureau til opgaven. De fleste bureauer er gode til at holde øje med opdateringer og installere dem så hurtigt som muligt, så her burde ikke være nogen ko på isen.
Det er straks værre med alle de webshops, som selv står for drift og vedligeholdelse af deres Magento-installation. Mange af disse webshops har ikke interne ressourcer til at dæmme op for konsekvenserne af den slags angreb. Hvis systemet først er blevet inficeret af skadelig kode, er det ikke nok at installere den seneste sikkerhedsopdatering. Så må hele databasesystemet gennemgås og renses.
Er din webshop blevet hacket?
Marc-Alexandre Montpas anbefaler, at man som tager et kig på sin access_log-fil for at se efter forekomster af disse to stier:
/catalog/product/frontend_action_synchronize
/catalog/product_frontend_action/synchronize
Et mindre antal forekomster antyder ikke noget suspekt, men er der mere end 2025 hits fra samme IP-adresse inden for få minutter, bør give anledning til at foretage nærmere undersøgelser.