最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Magento商店针对大量TrojanOrders攻击

网络安全 快米云 来源:快米云 35浏览

洋红色

针对 Magento 2 网站的“TrojanOrders”攻击大规模激增,至少有七个黑客组织是幕后黑手,他们利用一个漏洞让威胁行为者破坏易受攻击的服务器。

网站安全公司 Sansec 警告称,近 40% 的 Magento 2 网站成为了攻击目标,黑客组织为了控制受感染的网站而相互争斗。

这些攻击被用来将恶意 JavaScript 代码注入在线商店的网站,这可能会在繁忙的黑色星期五和网络星期一期间导致严重的业务中断和大量客户信用卡盗窃。

随着圣诞节临近,网上商店正处于最关键同时也是最脆弱的时期,预计这一趋势将继续下去。

检测到的 TrojanOrders 攻击示意图
检测到的“TrojanOrders”攻击图
来源:Sansec

TrojanOrders 攻击

TrojanOrders 是一种利用严重的 Magento 2 CVE-2022-24086 漏洞的攻击名称,允许未经身份验证的攻击者执行代码并在未修补的网站上注入 RAT(远程访问木马)。

Adobe 在 2022 年 2 月修复了 CVE-2022-24086,但 Sansec 表示许多 Magento 站点仍需要修补。

“Sansec 估计,到目前为止,至少有三分之一的 Magento 和 Adob​​e Commerce 商店尚未安装补丁,”电子商务网络安全公司 SanSec的一份新报告解释道。

在进行TrojanOrders 攻击时,黑客通常会在目标网站上创建一个帐户,并在名称、增值税或其他字段中包含包含恶意模板代码的订单。

后台出现恶意订单
后台出现恶意订单
来源:Sansec

例如,上述攻击将在网站上注入“health_check.php”文件的副本,其中包含一个 PHP 后门,可以运行通过 POST 请求发送的命令。

在网站上站稳脚跟后,攻击者会安装远程访问木马以建立永久访问权限并能够执行更复杂的操作。

在 Sansec 观察到的许多情况下,攻击者在妥协时扫描“health_check.php”是否存在,以确定是否有其他黑客已经感染了该站点,如果已感染,则用他们自己的后门替换该文件。

攻击者最终修改网站以包含恶意 JavaScript,该 JavaScript 在商店购买产品时窃取客户信息和信用卡号码。

为什么过了这么久还会有暴涨?

Sansec 的分析师认为,我们看到针对此漏洞的攻击激增有多种原因。

首先,大量 Magento 2 站点仍然容易受到这些攻击,即使在补丁可用十个月后也是如此。

其次,PoC(概念验证)漏洞利用已经存在了很长时间,允许漏洞利用工具包作者将它们整合到他们的工具中,并通过将它们出售给低技能的黑客来获利。

这些 Magento 漏洞非常丰富,售价低至 2,500 美元,而在 2022 年初,它们的价格在 20,000 美元到 30,000 美元之间。

Magento 2 从 2022 年 9 月开始销售漏洞
2022 年 9 月开始销售 Magento 2 漏洞
资料来源:Sansec

最后,这些攻击的时机非常理想,因为网站的流量因假期而增加,这意味着恶意订单和代码注入可能更容易被忽视。

如何保护您的网站(和客户)

如果您尚未应用解决 CVE-2022-24086 的安全更新,则应尽快应用。

此外,仔细检查订单以查找 TrojanOrder 攻击的迹象,例如订单中的模板代码或匿名电子邮件帐户使用 Protonmail、Tutanota 等提交的订单。

最后,使用后端恶意软件扫描程序来发现过去可能导致 RAT 注入的潜在感染。

Sansec 表示,Magento 的官方工具 Security Scan 只能扫描前端,因此无法捕获 TrojanOrders。

出于这个原因,这家安全公司提供一个月的免费扫描器访问权限,以帮助管理员清理他们的网站。

请记住,如果应用了 Magento 2 补丁,检测和删除恶意软件和 PHP 后门只会阻止未来的感染,因此这仍然是最关键的步骤。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Magento商店针对大量TrojanOrders攻击