研究人员观察到针对 CVE-2022-24086 的黑客攻击激增,这是一个严重的 Magento 2 漏洞,允许未经身份验证的攻击者在未修补的站点上执行代码。
Magento 是 Adobe 旗下的开源电子商务平台,全球约有 170,000 个在线购物网站使用。
CVE-2022-24086 漏洞于 2022 年 2 月被发现并修补,当时威胁者已经在野外利用它。当时, CISA 发布了警告, 敦促站点管理员应用可用的安全更新。
天后,安全研究人员发布了 针对 CVE-2022-24086 的概念验证 (PoC) 漏洞利用,为大规模利用开辟了道路。
根据 Sansec 今天发布的一份报告,我们已经到了那个阶段,关键模板漏洞成为地下黑客的最爱。
三种攻击变种
Sansec 的分析师观察到三种攻击变种,利用 CVE-2022-24086 在易受攻击的端点上注入远程访问木马 (RAT)。
攻击是交互式的,因为 Magento 结账流程难以实现自动化,并且可能会降低攻击的有效性。
第一个变体首先在目标平台上使用名字和姓氏中的恶意模板代码创建一个新客户帐户,然后下订单。

注入的代码解码为下载 Linux 可执行文件(“223sam.jpg”)的命令,该可执行文件在后台作为进程启动。这是 RAT,它通过电话连接到基于保加利亚的服务器以接收命令。
“这种攻击方法破坏了 Adobe Commerce Cloud 平台的一些安全功能,例如只读代码库和在 pub/media 下受限的 PHP 执行,” Sansec 在报告中解释道。
“RAT 可以完全访问数据库和正在运行的 PHP 进程……并且可以注入到多服务器集群环境中的任何节点上。”
第二次攻击涉及通过在已下订单的增值税字段中包含模板代码来注入 PHP 后门(“health_check.php”)。
该代码创建了一个新文件(“pub/media/health_check.php”),该文件通过 POST 请求接受命令。

最后,第三个攻击变种使用模板代码执行以将“生成/代码/Magento/Framework/App/FrontController/Interceptor.php”替换为恶意的后门版本。

研究人员敦促 Magento 2 站点管理员遵循此支持页面上的安全指南, 并将他们的软件升级到最新版本。