Error crítico de Magento utilizado en una nueva ronda de ataques

0
3
Error crítico de Magento utilizado en una nueva ronda de ataques

Los ciberdelincuentes intentan cada vez más explotar una vulnerabilidad de plantilla crítica en Magento 2 para ejecutar código en sitios web sin parches.

Eso es según los investigadores del servicio de detección de malware de comercio electrónico Sansec, quienes dicen que recientemente observaron un aumento en los esfuerzos de piratería dirigidos a CVE-2022-24086.

Magento, que fue adquirida por Adobe en 2019, es una de las plataformas de comercio electrónico más populares del mundo. Proporciona software de comercio electrónico ampliamente utilizado tanto de código abierto como comercial.

Miles de personas utilizan actualmente el portal Magento Marketplace para comprar, vender y descargar temas y complementos para tiendas en línea basadas en Magento. Sin embargo, la popularidad de Magento también ha llevado a que esta plataforma sea el objetivo persistente de los ciberdelincuentes.

CVE-2022-24086 se descubrió en febrero de 2022, cuando Adobe vio que los actores de amenazas salvajes lo explotaban en “ataques muy limitados”.

La falla recibió una puntuación de gravedad de 9,8 sobre 10, y se lanzó un parche a los pocos días para solucionar el problema.

Adobe aconsejó a los administradores de las tiendas en línea que ejecutan las versiones 2.4.3-p1/2.3.7-p2 e inferiores de Adobe Commerce o Magento Open Source que prioricen el tratamiento de CVE-2022-24086 y apliquen los parches lo antes posible.

CVE-2022-24086 se describe como “una vulnerabilidad de validación de entrada incorrecta durante el proceso de pago” y los investigadores advirtieron que podría explotarse sin la interacción del usuario, lo que podría conducir a la ejecución de código arbitrario.

Los investigadores lanzaron un exploit de prueba de concepto (PoC) para CVE-2022-24086 unos días después de que se descubriera la falla, allanando el camino para su explotación generalizada.

Los investigadores de Sansec ahora afirman haber visto tres hacks de plantilla que intentaron instalar un troyano de acceso remoto (RAT) en puntos finales vulnerables mediante la explotación de CVE-2022-24086.

Todos los ataques detectados han sido interactivos, según los investigadores, posiblemente porque la secuencia de pago de Magento es particularmente difícil de automatizar.

Las tres variantes de ataque

La primera variante comienza con el uso de un código de plantilla malicioso para crear una nueva cuenta de cliente en la plataforma de destino. Continúa con la realización de un pedido, lo que podría dar lugar a un pago fallido.

El código inyectado se descodifica en un comando que descarga e inicia un proceso en segundo plano para el ejecutable de Linux 223sam.jpg.

Según los investigadores, se trata básicamente de un troyano de acceso remoto (RAT) que permanece en la memoria y se comunica con un servidor remoto ubicado en Bulgaria para recibir más comandos.

La base de datos y los procesos PHP activos son totalmente accesibles para la RAT.

La segunda variante de ataque intenta introducir una puerta trasera health_check.php al incluir un código de plantilla en el campo de IVA del pedido realizado.

Usando solicitudes POST, el código genera un nuevo archivo que acepta más comandos.

En la tercera variante de ataque, el código de plantilla se ejecuta para sustituir “generated/code/Magento/Framework/App/FrontController/Interceptor.php” con un código malicioso.

Eventualmente, el malware se ejecuta cada vez que se realiza una solicitud de página de Magento.

Para proteger sus sitios web de los ataques, los investigadores ahora aconsejan a los administradores de sitios de Magento 2 que actualicen su software a la versión más reciente.

El ataque del Cerdo Pez

El anuncio se produce días después de que los investigadores de Sansec advirtieran que los ciberdelincuentes estaban implantando malware en servidores pertenecientes a minoristas en línea después de ingresar a la infraestructura de servidores de FishPig.

FishPig es un desarrollador del software de integración Magento-WordPress con más de 200 000 descargas.

Sansec dijo que los atacantes habían inyectado malware en FishPig Magento Security Suite y varias otras extensiones de FishPig para Magento 2, para obtener acceso a los sitios web que utilizan los productos. El malware inyectado luego instaló una RAT, denominada Rekoobe, que se oculta en el servidor como un proceso en segundo plano.

Cuando Rekoobe está activado, proporciona un shell inverso que permite al atacante dar instrucciones de forma remota al servidor comprometido.

.

LEAVE A REPLY

Please enter your comment!
Please enter your name here