Кібератаки на CMS Magento: критичні вразливості і ризики безпеки

  • Юлия
  • 06.07.2020 331

CMS платформи з відкритим вихідним кодом можуть бути вразливими для атак кіберзлочинців. Очевидно, що перевагами open source рішення є гнучкість і широкі можливості для настройки сайту під власні потреби. Недоліки, однак, полягають в тому, що власник сайту бере на себе певні обов'язки щодо забезпечення безпеки свого сайту відповідно до моделі Magento's Shared Responsibility.

Сьогодні ми вирішили дізнатися докладніше про тактику поширення шкідливих скриптів, життєвий циклі скиммера, а також можливі загрози безпеки для сайтів на платформі Magento.

Найбільш серйозні загрози безпеки, які переслідують користувачів Magento, надходять від кіберзлочинної групи Magecart. Дослідницька компанія з кібербезпеки RiskIQ вперше почала відслідковувати атаки скіммінгу карток Magecart в 2010 році (з цього моменту було зламано близько 18 тис. хостів), проте увагу злочинна група почала привертати до себе відносно недавно. Як правило, інтерес до них зростав після серії атак на ланцюги поставок (supply chain).

За останні 10 років численні угруповання кіберзлочинців продовжували розвиватися з великою швидкістю: всього атак скімерів за цей час було зафіксовано понад 2 млн разів. Ця широка мережа кібератак привела до такого хаосу, що в 2018 році Wired додали їх в список найнебезпечніших злочинців в Інтернеті. Але на той час, як їх “ком’юніті” отримало цей сумнівний статус, вони вже атакували як мінімум 10 тисяч веб-сайтів.

У червні 2019 року Cyberscoop опублікував статтю про нову атаку в стилі Magecart, здатної викрадати дані з сайтів, які використовують платіжні платформи Magento, OpenCart або OSCommerce. А всього через два місяці Рада зі стандартів безпеки PCI SSC і ISAC Retail & Hospitality опублікували спільну заяву про ризики Magecart для онлайн-продавців. На початку 2020 ФБР випустило аналогічне попередження.

Сьогодні Magecart все ще залишається загрозою для вразливих сайтів на платформі Magento. Згідно з дослідженням Foregenix, проведеним у другому кварталі 2019 року, 87% малих і середніх підприємств на платформі Magento піддаються високому ризику атаки – в порівнянні з менш ніж 10% веб-сайтів на інших популярних платформах.

Як працюють атаки Magecart

За оцінками дослідників в галузі безпеки, існує щонайменше 12 основних груп загроз Magecart-атак, зосереджених на крадіжці платіжної інформації. Зловмисники додають шкідливий скрипт для впровадження скиммера в ПО, за допомогою чого збирають інформацію про клієнтів в режимі real-time при введенні платіжних реквізитів у веб-формах.

Номери кредитних карток і інші банківські дані непомітно “перехоплюються” і передаються на сторонній сервер. Їх основна комерційна діяльність – це продаж «fullz» на чорному ринку, тобто повний пакет персональних даних користувача. Це облікові записи, вся інформацію про платіжну картку, необхідна для здійснення покупок в Інтернеті: номер CVC / CVV2, термін дії, номер банківської картки.

За словами аналітиків, скіммер може працювати на сайті до 22 днів і продовжувати перехоплювати конфіденційну інформацію, в тому числі інфо про логін та пароль адміністратора. Але на практиці, якщо не виявити загрозу, то шкідливий скрипт може існувати на сайті до декількох років.

З огляду на той факт, що у угруповання було зафіксовано понад 500 доменів і 10 тисяч хостів, деякі їх послідовники можуть використовувати занедбані домени в своїх цілях і продовжувати красти платіжні дані користувачів. Або, наприклад, розміщуючи на сторінці рекламний банер, заробляти на кліках по цих оголошеннях. У сукупності вважається, що атаки Magecart скомпрометували як мінімум 50 000 компаній по всьому світу.

Недавні атаки

Групи Magecart протягом усієї своєї історії віддавали перевагу великим компаніям, очевидно через великий обсяг транзакцій за платіжними картками, які вони обробляють. Але недавно потік атак був спрямований на невеликі компанії. Як правило, їх фокус падав на таких рітейлерів, як модні бренди і автоспортивні компанії.

Це зміщення фокусу на тих роздрібних продавців, які вважають, що вони занадто малі, щоб завоювати особливу увагу хакерів і що їх сайт навряд чи стане ціллю атаки. Внаслідок чого жертви навіть не підозрюють, що їх JavaScript-код був змінений, транзакційний ланцюг піддався атаці, а сторонній скомпрометований скрипт несе загрозу.

Magento був першою і головною метою для груп Magecart, і він залишається одним з їхніх лідерів для збору платежів. Багато інтернет-магазинів досі використовують версії Magento, випущені ще в 2010 році, уразливості яких прекрасно відомі хакерам. Атаки на Magecart досягли свого піку в липні 2019 року: 962 веб-сайту на базі CMS Magento за один день потрапили в найбільшу кібератаку.

Також, однією з наймасштабніших атак угруповання був злом контейнерів Amazon. Зловмисники сканували систему в пошуках уразливих місць в сховищах Amazon S3 за допомогою автоматизованих інструментів, які впроваджують шкідливий JavaScript-код. Як результат – близько 17 000 доменів були заражені протягом місяця через неправильно налаштовані контейнери Amazon S3.

Внаслідок чого компанія Magento з метою попередження своїх партнерів від потенційного ризику атаки зобов’язала до 30 червня 2020 року оновитися до Magento 2. Якщо цього не зробити, то онлайн-бізнес може виявитися вразливим з точки зору безпеки і не буде відповідати стандартам безпеки платіжних карт (PCI DSS). У той же самий час, Рада зі стандартів безпеки індустрії платіжних карт PCI SSC і RH-ISAC випустили спільну заяву, яка попереджає інтернет-торговців про різке збільшення кількості кібератак від Magecart.

End Of Life Magento 1

30 червня 2020 року Magento 1.X серія версій Magento офіційно закривається. Іншими словами, вона досягне «End of Life». Це означає, що Magento більше не буде створювати оновлення або виправлення вразливостей для продукту. Хоча це не означає, що ваш магазин зникне з Інтернет-середовища або що ви взагалі не зможете вести бізнес, однак це створює цілий ряд серйозних проблем. Рітейлери, що залишилися на Magento 1 після закінчення його терміну служби, можуть піддаватися серйозним загрозам безпеки.

Ось кілька інших можливих проблем, з якими можуть зіткнутися рітейлери, що залишилися на Magento 1:

  • Сторонні додатки навряд чи отримають будь-які нові оновлення і в кінцевому підсумку будуть несумісні з Magento 1.      
  • Нових інтеграцій та модулів буде на порядок менше, ніж для оновленої версії.      
  • Деякі агентства з розробки можуть перестати розробляти сайти на Magento 1. Без підтримки з боку Magento, розробки виправлень безпеки і контролю якості ПО ваша команда змушена буде нести повну відповідальність не тільки за щоденну підтримку, а й за кібербезпеку і функціональність вашого застарілого програмного забезпечення.      

Захист від Magecart

За словами аналітиків, основна причина, по якій відбуваються атаки Magecart, полягає в тому, що багато комерційних веб-сайтів оновлюються нерегулярно, а деякі з них знаходяться в уразливому стані більше 10 років.

Автоматизовані інструменти сканують Мережу в пошуках застарілих версій ПЗ з відомими експлойтами (тобто програмами, що використовують уразливості в ПЗ і застосовуються для проведення атаки), які компанії, можливо, не виправили. Тобто, очевидно, що власник бізнесу в Інтернеті повинен мати останню версію системи для електронної комерції та встановлювати регулярні оновлення безпеки. Але як показує практика, недбалість багатьох підприємців по відношенню до оновлень часто призводить до фатальних наслідків.

Однією з основних сек’юріті-можливостей, якої часто не вистачає на сайтах онлайн-магазинів, є т.зв. обфускація (заплутування коду). Якщо код JavaScript і HTML, на якому працює сайт, не “заплутаний”, хакери можуть безпосередньо проаналізувати і використовувати автоматизовані інструменти для вставки шкідливого коду скіммінгу, необхідного для перенаправлення платіжного трафіку на свої сервери. “Заплутаний” код в такому випадку закриє переважну більшість подібних автоматичних атак.

До інших заходів безпеки, які в ідеалі повинні застосовуватися, відноситься система сповіщення, яка повідомляє IT-департамент про те, що хтось намагається змінити якийсь код на веб-сайті. І реалізує рішення Subresource Integrity (SRI) для перевірки сторонніх файлів, які завантажуються як частина процесу перевірки, чи не внесено змін. Як зазначає Deepak Patel, сек’юріті-фахівець в компанії PerimeterX, що займається веб-безпекою:

«Атаки Magecart триватимуть ще довго. Сучасний стек веб-додатків спирається на сторонні скрипти, розміщені у провайдерів, яким не вистачає суворого контролю над забезпеченням безпеки даних. Власники веб-сайтів не мають доступу до сторонніх скриптів, що запускаються в браузерах користувачів в контексті їх сайту. У багатьох випадках, власники веб-сайтів також не знають про всі first-party скрипти, запущені на їхньому сайті. В цьому випадку зловмисники Magecart використовували старішу версію Magento, щоб впровадити шкідливі скрімери.”

Підписатися на розсилку

В кінцевому рахунку, головне, щоб у рішень для електронної комерції були виправлені вразливості і встановлені останні оновлення як самої системи, так і інших модулів та інтеграцій для CMS Magento. Скіммінг-кампанія Magecart, як правило, фокусується на “легкій здобичі”, використовуючи автоматизовані інструменти для пошуку вразливих сайтів, які використовують застаріле ПЗ. Тому, якщо ваш веб-сайт посилений останніми оновленнями з безпеки, ваші шанси привернути їхню увагу значно знизяться.

avatar

Читайте також

На нашому сайті використовуються файли cookie для збору інформації в маркетингових цілях. Детально про збір інформації ви можете ознайомитися в «Політиці конфіденційності».