Кибератаки на CMS Magento: критические уязвимости и риски безопасности

  • Виктория
  • 06.07.2020 235

CMS платформы с открытым исходным кодом могут быть уязвимыми для атак киберпреступников. Очевидно, что преимуществами open source решения являются гибкость и широкие возможности для настройки сайта под собственные нужды. Недостатки, однако, заключаются в том, что владелец сайта берет на себя определенные обязанности по обеспечению безопасности своего сайта в соответствии с моделью Magento’s Shared Responsibility.

Сегодня мы решили узнать подробнее о тактике распространения вредоносных скриптов, жизненном цикле скиммера, а также возможных угрозах безопасности для сайтов на платформе Magento.

Наиболее серьезные угрозы безопасности, которые преследуют пользователей Magento, поступают от киберпреступной группы Magecart. Исследовательская компания по кибербезопасности RiskIQ по впервые начала отслеживать атаки скимминга Magecart карт в 2010 году (с этого момента было взломано около 18 тыс. хостов), однако внимание преступная группа начала привлекать к себе относительно недавно. Как правило, интерес к ним возрастал после серии атак на транзакционные цепочки. 

За последние 10 лет многочисленные группировки киберпреступников продолжали развиваться с большой скоростью: всего атак скиммеров за это время было зафиксировано более 2 млн раз. Эта широкая сеть кибератак привела к такому хаосу, что в 2018 году Wired добавили их в список самых опасных преступников в Интернете. Но к тому времени, как их “комьюнити” получило этот сомнительный статус, они уже атаковали как минимум 10 тысяч веб-сайтов. 

В июне 2019 года Cyberscoop опубликовал статью о новой атаке в стиле Magecart, способной похищать данные с сайтов, использующих платежные платформы Magento, OpenCart или OSCommerce. А всего через два месяца Совет по стандартам безопасности PCI SSC и ISAC Retail & Hospitality опубликовали совместное заявление о рисках Magecart для онлайн-продавцов. В начале 2020 года ФБР выпустило аналогичное предупреждение. 

Сегодня Magecart все еще остается угрозой для уязвимых сайтов на платформе Magento. Согласно исследованию Foregenix, проведенному во втором квартале 2019 года, 87% малых и средних предприятий на платформе Magento подвергаются высокому риску атаки — по сравнению с менее чем 10% веб-сайтов на других популярных платформах.

Как работают атаки Magecart 

По оценкам исследователей в области безопасности, существует по меньшей мере 12 основных групп угроз Magecart-атак сосредоточенных на краже платежной информации. Злоумышленники добавляют вредоносный скрипт для внедрения скиммера в ПО, посредством чего собирают информацию о клиентах в режиме real-time при вводе платежных реквизитов в веб-форме. 

Номера кредитных карт и прочие банковские данные счета незаметно “перехватываются” и передаются на сторонний сервер. Их основная коммерческая деятельность — это продажа «fullz» на черном рынке, то есть полный пакет персональных данных пользователя. Это учетные записи, вся информацию о платежной карте, необходимая для совершения покупок в Интернете: номер CVC/CVV2, срок действия и номер банковской карты. 

По словам аналитиков, скиммер может работать на сайте до 22 дней и продолжать перехватывать конфиденциальную информацию, в том числе инфо о логине и пароле администратора. Но на практике, если не обнаружить угрозу, то вредоносный скрипт может существовать на сайте до нескольких лет. 

Учитывая тот факт, что у группировки было зафиксировано более 500 доменов и 10 тысяч хостов, некоторые их последователи могут использовать заброшенные домены в своих целях и продолжать воровать платежные данные пользователей. Или, например, размещая на странице рекламный баннер, зарабатывать на кликах по этим объявлениям. В совокупности считается, что атаки Magecart скомпрометировали как минимум 50 000 компаний по всему миру.

Недавние атаки 

Группы Magecart на протяжении всей своей истории отдавали предпочтение крупным компаниям, очевидно из-за большого объема транзакций по платежным картам, которые они обрабатывают. Но недавно поток атак был направлен на небольшие компании. Как правило, их фокус падал на таких ритейлеров, как модные бренды и автоспортивные компании. 

Это смещение фокуса на тех розничных продавцов, которые считают, что они слишком малы, чтобы завоевать особое внимание хакеров и что их сайт вряд ли станет вектором атаки. Вследствие чего жертвы даже не подозревают, что их JavaScript был изменен, транзакционная цепочка подверглась атаке, сторонний скрипт  скомпрометирован и несет угрозу. 

Magento был первой и главной целью для групп Magecart, и он остается одним из их фаворитов для сбора платежных данных. Многие интернет-магазины по-прежнему используют версии Magento, выпущенные еще в 2010 году, уязвимости которых прекрасно известны хакерам. Атаки на Magecart достигли своего пика в июле 2019 года: 962 веб-сайта на базе CMS Magento за один день попали в крупнейшую кибератаку. 

Также, одной из самых масштабных атак группировки был взлом контейнеров Amazon. Злоумышленники сканировали систему в поисках уязвимых мест в хранилищах Amazon S3 с помощью автоматизированных инструментов, которые внедряют вредоносный JavaScript-код. Как результат — около 17 000 доменов были заражены в течение месяца из-за неправильно настроенных контейнеров Amazon S3

Вследствии чего компания Magento с целью предостережния своих партнеров от потенциального риска атаки обязала до 30 июня 2020 года обновиться до Magento 2. Если этого не сделать, то онлайн-бизнес может оказаться уязвимым с точки зрения  безопасности и не будет соответствовать стандартам безопасности платежных карт (PCI DSS). В тоже самое время, Совет по стандартам безопасности индустрии платежных карт PCI SSC и RH-ISAC выпустили совместное заявление, предупреждающее интернет-торговцев о резком увеличении количества кибератак от Magecart.

End Of Life Magento 1 

30 июня 2020 года Magento 1.X серия версий Magento официально закроется. Другими словами, он достигнет «End of Life». Это означает, что Magento больше не будет создавать обновления или исправления безопасности для продукта. Хотя это не означает, что ваш магазин исчезнет из Интернета или что вы вообще не сможете вести бизнес, но это создает целый ряд серьезных проблем. Ритейлеры, оставшиеся на Magento 1 после его окончания срока службы, могут подвергаться серьезным угрозам безопасности. 

Вот несколько других возможных проблем, с которыми могут столкнуться ритейлеры, оставшиеся на Magento 1: 

  • Сторонние приложения вряд ли получат какие-либо новые обновления и в конечном итоге будут несовместимы с Magento 1. 
  • Новых интеграций и модулей будет на порядок меньше, нежели для обновленной версии. 
  • Некоторые агентства по разработке могут перестать разрабатывать сайты на Magento 1. Без поддержки со стороны Magento, разработки исправлений безопасности и контроля качества ПО ваша команда вынуждена будет нести полную ответственность не только за ежедневную поддержку, но и за кибербезопасность и функциональность вашего устаревшего программного обеспечения.

Защита от Magecart 

По словам аналитиков, основная причина, по которой происходят атаки Magecart, заключается в том, что многие коммерческие веб-сайты обновляются нерегулярно, а некоторые из них находятся в уязвимом состоянии более 10 лет. 

Автоматизированные инструменты сканируют Сеть в поисках устаревших версий ПО с известными эксплойтами (т.е. программами, использующими уязвимости в ПО и применяемыми для проведения атаки) которые компании, возможно, не исправили. То есть, очевидно, что владелец бизнеса в Интернете должен иметь самую последнюю версию системы для электронной коммерции и устанавливать регулярные обновления безопасности. Но как показывает практика, халатность многих предпринимателей по отношению к обновлениям часто приводят к фатальным последствиям.

Одной из основных секьюрити-возможностей, которой часто не хватает на сайтах онлайн-магазинов, является т.н. обфускация (запутывание кода). Если код JavaScript и HTML, на котором работает сайт, не “запутан”, хакеры могут напрямую проанализировать и использовать автоматизированные инструменты для вставки вредоносного кода скимминга, необходимого для перенаправления платежного трафика на свои серверы. “Запутанный” код в таком случае закроет подавляющее большинство подобных автоматических атак. 

К другим мерам безопасности, которые в идеале должны применяться, относятся система оповещения, которая уведомляет IT-департамент о том, что кто-то пытается изменить какой-либо код на веб-сайте. И реализует решение Subresource Integrity (SRI) для проверки того, что сторонние файлы, которые загружаются как часть процесса проверки, не были изменены. Как отмечает Deepak Patel, секьюрити-специалист в компании PerimeterX, занимающейся веб-безопасностью:

«Атаки Magecart будут продолжаться еще долго. Современный стек веб-приложений опирается на сторонние скрипты, размещенные у провайдеров, которым не хватает строгого контроля над обеспечением безопасности данных. Владельцы веб-сайтов не имеют доступа к сторонним скриптам, запускаемым в браузерах пользователей в контексте их сайта. Во многих случаях, владельцы веб-сайтов также не знают обо всех first-party скриптах, запущенных на их сайте. В этом случае злоумышленники Magecart использовали более старую версию Magento, чтобы внедрить вредоносные скримеры.”

Подписаться на рассылку

В конечном счете, главное, чтобы у решений для электронной коммерции были исправлены уязвимости и установлены последние обновление как самой системы, так и других модулей и интеграций для CMS Magento. Скимминг-кампании Magecart, как правило, фокусируются на “легкой добыче”, используя автоматизированные инструменты для поиска уязвимых сайтов, использующих устаревшее ПО. Поэтому, если ваш веб-сайт усилен последними обновлениями по безопасности, ваши шансы привлечь их внимание значительно снизятся.

avatar

Читайте также

На нашем сайте используются файлы cookie для сбора информации в маркетинговых целях. Подробно о сборе информации вы можете ознакомиться в «Политике конфиденциальности».