天后,安全研究人员发布了 针对 CVE-2022-24086 的概念验证 (PoC) 漏洞利用,为大规模利用开辟了道路。

根据 Sansec 今天发布的一份报告,我们已经到了那个阶段,关键模板漏洞成为地下黑客的最爱。

三种攻击变种

Sansec 的分析师观察到三种攻击变种,利用 CVE-2022-24086 在易受攻击的端点上注入远程访问木马 (RAT)。

攻击是交互式的,因为 Magento 结账流程难以实现自动化,并且可能会降低攻击的有效性。

第一个变体首先在目标平台上使用名字和姓氏中的恶意模板代码创建一个新客户帐户,然后下订单。

部分注入的模板代码
部分注入的模板代码 (Sansec)

注入的代码解码为下载 Linux 可执行文件(“223sam.jpg”)的命令,该可执行文件在后台作为进程启动。这是 RAT,它通过电话连接到基于保加利亚的服务器以接收命令。

“这种攻击方法破坏了 Adob​​e Commerce Cloud 平台的一些安全功能,例如只读代码库和在 pub/media 下受限的 PHP 执行,” Sansec 在报告中解释道。

“RAT 可以完全访问数据库和正在运行的 PHP 进程……并且可以注入到多服务器集群环境中的任何节点上。”

第二次攻击涉及通过在已下订单的增值税字段中包含模板代码来注入 PHP 后门(“health_check.php”)。

该代码创建了一个新文件(“pub/media/health_check.php”),该文件通过 POST 请求接受命令。

创建恶意 PHP 文件
创建恶意 PHP 文件 (Sansec)

最后,第三个攻击变种使用模板代码执行以将“生成/代码/Magento/Framework/App/FrontController/Interceptor.php”替换为恶意的后门版本。

在第三次攻击中创建的 PHP eval 后门
在第三次攻击(Sansec)中创建的 PHP eval 后门

研究人员敦促 Magento 2 站点管理员遵循此支持页面上的安全指南, 并将他们的软件升级到最新版本。