Sårbarhed i Adobe Magento misbruges til at plante kreditkort skimmer
En kritisk sårbarhed i det populære eCommerce software Magento udnyttes aktivt af it-kriminelle til at plante en kreditkort skimmer der automatisk høster alle de kreditkort transaktioner der løber igennem den kompromitterede webside.
Sårbarheden, som misbruges er knyttet til CVE-ID: CVE-2024-20720 med en CVSS score på 9.1, og den blev rettet med en sikkerhedsopdatering fra Adobe i februar måneds patch cyklus.
Desværre er der meget der indikerer, at ikke alle har fået opgraderet deres Magento i tide.
Svagheden udnyttes igennem Magento layout parser med beberlei/assert pakken, der er installeret som standard, til at eksekvere arbitrære kommandoer.
Opgrader Magento
Det anbefales, at alle der anvender Magento med det samme opgraderer til version 2.4.6-p4, 2.4.5-p6 eller 2.4.4-p7 snarest muligt.
Den skadelige Magecart kode injektes i "Interceptor.php", og hvis Magento først er blevet kompromitteret, er det muligt at geninficere installationen igennem "layout_update" funktionen. Det er beskrevet her: https://sansec.io/research/magento-xml-backdoor
Af samme blogpost optræder en række IoCs, men der mangler en vigtig brik i forhold til en Magecart Kritec skimmer varianten, hvor der anvendes en stribe C&Cs hos:
organisation: ORG-IWL5-RIPE
org-name: IT WEB LTD
country: VG
org-type: LIR
address: Intershore Chambers
address: P.O.Box 4342
address: Road Town,Tortola
address: VIRGIN ISLANDS, BRITISH195.242.110.0 - 195.242.111.255
Se diagram der illustrerer relationer og URLs som anvendes i denne Kritec kampagne:
Man kan med fordel blokere adgang til følgende domæner, ligesom al trafik til disse IPs/domæner bør undersøges nærmere (saniteret):
cbynout[.]online
cegteh[.]store
divimob[.]space
dorojet[.]store
elenots[.]site
gambon[.]shop
gemokelt[.]store
gentop[.]online
hempomot[.]space
jondong[.]online
kafaben[.]site
kajetic[.]fun
keltsmob[.]shop
kolrmob[.]space
lenton[.]store
luktoc[.]online
nehetech[.]space
optemhop[.]shop
pitamec[.]shop
prihot[.]fun
rdyttop[.]fun
skeltit[.]site
xentech[.]shop
Detektion af disse domæner er fortsat yderst mangelfuld.