Троян в CS-Cart. Утечка счетов из 35'000 интернет-магазинов

[baykal]

Разрабы второго по популярности (по версии ratingruneta) интернет-магазина встроили в движок код, который делает копии всех счетов клиентов на сервер в Аризоне. Кто пострадал? Интернет-магазины и их клиенты, работающие на CS-Cart всех версий. Сама компания заявляет о 35'000 установок в 170 странах мира.

Какая информация содержится в утечке​

• ФИО покупателя интернет-магазина
• Адрес покупателя
• Телефон покупателя
• email покупателя
• Сумма заказа, заказанные товары и услуги
• Почтовые треки

Подробности​

С CMS можно познакомиться (и скачать демо) по двум адресам: https://www.cs-cart.ru/, https://www.cs-cart.com/.
Последняя версия на сегодня 4.12.2.SP2 (зеркало), написана на PHP, ставится как всё, заточенное под LAMP, но нам для наших целей это не обязательно делать.
Скачиваем, распоковываем и сразу идём смотреть ./app/Tygh/Pdf.php , где видим такой код для отрисовки счёта клиента в виде Pdf-файла:

<?php
...
protected static $url = 'http://converter.cart-services.com';
...
public static function render(...)
{
...
$response = Http::post(self::action('/pdf/render'), json_encode($params), array(
'headers' => array(
'Content-type: application/json',
'Accept: application/pdf'
),
'binary_transfer' => true,
'write_to_file' => $file
));
...
protected static function action($action)
{
return self::$url . $action;
}

где json_encode($params) содержит всю личную информацию, в т.ч. персональные данные покупателя, а Http::post(self::action('/pdf/render') после эвалюации превращается в Http::post("https://converter.cart-services.com/pdf/render") и все наши данные отправляются по ссылке выше, а уже в ответ из Аризоны (см. далее) приходит Pdf, который потом отправляется покупателю и/или используется для других целей системы.

converter.cart-services.com​

Если погуглить этот адрес (converter.cart-services.com), то окажется, что первые обращения в форум поддержки датируются не позже 2018 года (вероятно, даже раньше, но администрация форума поддержки удаляет сообщения об этой проблеме), скорее всего с 2006 года, когда этот адрес был зарегестрирован.
Сам сервер, где собираются счета находится в Аризоне, США:

- Resolving "converter.cart-services.com"... 1 IP address found: 184.95.47.28
┌PTR cs-cart.com
├ASN 20454 (SSASN2, US)
├ORG Servstra
├NET 184.95.32.0/19 (SERVSTRA)
├ABU -
├ROA ✓ UNKNOWN (no ROAs found)
├TYP Proxy host Hosting/DC
├GEO Phoenix, Arizona (US)
└REP ✓ GOOD

Выводы​

Компания-разработчик установила закладку, которая все заказы всех своих 35к клиентов, включая информацию о ФИО, емейлах, телефонах, адресах покупателей сливает куда-то в Аризону на сервер, который зарегистрирован уже 15 лет. Обращение на форум поддержки, кстати, заканчивается удалением топиков и открытым признанием, что такое поведение меняться не будет.

 

[whitehaker]

Фиаско братан