Sansec, specializzata nella sicurezza dei sistemi e-commerce, ha recentemente rivelato la scoperta di un’insidiosa backdoor nel software di e-commerce Magento. Questa backdoor, celata all’interno di codice XML in apparenza innocuo, rappresenta una grave minaccia per i commercianti online che utilizzano questa piattaforma.
Una backdoor nascosta nel Codice
Il backdoor è stato identificato nel campo layout_update della tabella del database di Magento. Gli aggressori hanno sfruttato il parser di layout di Magento in combinazione con il pacchetto beberlei/assert, installato per impostazione predefinita, per eseguire comandi di sistema. Questo codice malevolo viene eseguito ogni volta che viene richiesta la pagina <store>/checkout/cart, grazie all’associazione di un blocco di layout specifico a tale pagina. L’uso del comando sed permette agli hacker di iniettare un backdoor nel controller CMS generato automaticamente, garantendo che il malware venga reiniettato anche dopo una correzione manuale o l’esecuzione di bin/magento setup:di:compile.
Questa backdoor consente l’esecuzione remota di codice tramite una richiesta POST all’indirizzo /cms/index, rappresentando un rischio significativo per la sicurezza dei dati sensibili gestiti dai commercianti Magento.
Riscontro di CVE-2024-20720
Questa scoperta rappresenta il primo caso conosciuto di abuso effettivo di CVE-2024-20720, una vulnerabilità individuata di recente, nel febbraio di quest’anno, dal ricercatore di sicurezza blaklis. L’aggressore ha sfruttato questo meccanismo per iniettare uno skimmer di pagamento fasullo per Stripe, copiando i dati di pagamento verso un indirizzo esterno, https://halfpriceboxesusa.com/pub/health_check.php, apparentemente un altro negozio Magento compromesso.
Passi consigliati per i Commercianti Colpiti
I commercianti che utilizzano Magento e temono di essere stati compromessi dovrebbero considerare l’esecuzione dello scanner eComscan di Sansec per rilevare eventuali backdoor nascoste nel loro sistema. Inoltre, è fortemente consigliato aggiornare la propria installazione di Magento alle versioni 2.4.6-p4, 2.4.5-p6 o 2.4.4-p7, a seconda della propria configurazione attuale.
Indirizzi IP degli Attaccanti
Sansec ha osservato l’attività del backdoor proveniente dai seguenti indirizzi IP:
- 45.146.54.58
- 45.146.54.59
- 45.146.54.61
- 45.146.54.67
- 216.73.163.170
- 216.73.163.182
Queste informazioni possono essere utili per i responsabili della sicurezza per monitorare e bloccare potenziali attività malevole.
Questa scoperta mette in luce l’importanza di mantenere i sistemi di e-commerce costantemente aggiornati e monitorati per proteggersi da minacce sempre più sofisticate. La sicurezza nell’e-commerce è fondamentale non solo per proteggere i dati aziendali, ma anche per garantire la fiducia dei clienti nella piattaforma.
Per maggiori informazioni e aggiornamenti sulla sicurezza di Magento, si consiglia di consultare direttamente le fonti ufficiali e gli esperti di settore come Sansec.
