Специалисты по информационной безопасности рассказали об опасных уязвимостях в CMS Magento, эксплуатация которых позволяет злоумышленникам перехватывать платежные операции и красть данные банковских карт покупателей онлайн-магазинов. Разработчики залатали ошибки в актуальных релизах платформы, выпущенных 25 июня 2019 года.
Как выяснили исследователи из компании RIPS Technologies, проблема связана с некорректной реализацией модуля Authorize.Net, предназначенного для обработки платежей. Ошибка возникает при очистке введенной пользователем информации от HTML-тегов функцией escapeHtmlWithLinks().
Эксперты пояснили, что уязвимость позволяет киберпреступнику добавить вредоносный JavaScript-код в одно из полей заказа, а затем отменить покупку. При разборе невыполненных заявок администратором магазина сценарий запустится, что приведет к перехвату текущей сессии.
На втором этапе атаки нападающий может использовать полученные привилегии для эксплуатации уязвимости в механизме десериализации данных PHP-утилиты Phar. ИБ-специалисты обнаружили недостатки в модуле обработки изображений: злоумышленник способен внедрить оболочку упаковщика в одну из картинок и запустить вредоносный скрипт с привилегиями уровня ядра.
В итоге киберпреступник получит возможность перенаправлять платежи от покупателей магазина на свой банковский счет или похищать финансовые реквизиты. По мнению экспертов, атака не требует от злоумышленника сбора дополнительных сведений о целевой системе, доступа к ней, а также применения приемов социальной инженерии.
Баги присутствуют в релизах Magento 2.1.17, 2.2.8, 2.3.1 и ранее. После получения информации об ошибках разработчики исправили их, выпустив обновления. Пользователям CMS рекомендуется немедленно развернуть версии 2.1.18, 2.2.9 и 2.3.2 соответственно.
Ежегодный объем транзакций через сайты под управлением Magento составляет около $155 млрд, поэтому киберпреступники оперативно берут на вооружение эксплойты для новых уязвимостей. Не исключено, что вскоре баги начнет использовать группировка Magecart, которая специализируется на взломе этой платформы. По данным исследователей, только за три месяца прошлого года злоумышленники внедрили инжекты в более чем 5000 онлайн-площадок.
Как выяснили исследователи из компании RIPS Technologies, проблема связана с некорректной реализацией модуля Authorize.Net, предназначенного для обработки платежей. Ошибка возникает при очистке введенной пользователем информации от HTML-тегов функцией escapeHtmlWithLinks().
Эксперты пояснили, что уязвимость позволяет киберпреступнику добавить вредоносный JavaScript-код в одно из полей заказа, а затем отменить покупку. При разборе невыполненных заявок администратором магазина сценарий запустится, что приведет к перехвату текущей сессии.
На втором этапе атаки нападающий может использовать полученные привилегии для эксплуатации уязвимости в механизме десериализации данных PHP-утилиты Phar. ИБ-специалисты обнаружили недостатки в модуле обработки изображений: злоумышленник способен внедрить оболочку упаковщика в одну из картинок и запустить вредоносный скрипт с привилегиями уровня ядра.
В итоге киберпреступник получит возможность перенаправлять платежи от покупателей магазина на свой банковский счет или похищать финансовые реквизиты. По мнению экспертов, атака не требует от злоумышленника сбора дополнительных сведений о целевой системе, доступа к ней, а также применения приемов социальной инженерии.
Баги присутствуют в релизах Magento 2.1.17, 2.2.8, 2.3.1 и ранее. После получения информации об ошибках разработчики исправили их, выпустив обновления. Пользователям CMS рекомендуется немедленно развернуть версии 2.1.18, 2.2.9 и 2.3.2 соответственно.
Ежегодный объем транзакций через сайты под управлением Magento составляет около $155 млрд, поэтому киберпреступники оперативно берут на вооружение эксплойты для новых уязвимостей. Не исключено, что вскоре баги начнет использовать группировка Magecart, которая специализируется на взломе этой платформы. По данным исследователей, только за три месяца прошлого года злоумышленники внедрили инжекты в более чем 5000 онлайн-площадок.