Se ha descubierto que los actores de amenazas explotan una falla crítica en Magento para inyectar una puerta trasera persistente en sitios web de comercio electrónico.
El ataque se basa en la vulnerabilidad CVE-2024-20720 (CVSS score: 9.1), identificada por Adobe como una insuficiente neutralización de elementos especiales, lo que facilita la ejecución de código no autorizado.
Esta vulnerabilidad fue abordada por Adobe como parte de las actualizaciones de seguridad lanzadas el 13 de febrero de 2024.
Sansec, en su descubrimiento, mencionó haber encontrado una plantilla de diseño muy astuta dentro de la base de datos, que se aprovecha para insertar automáticamente código malicioso y así ejecutar órdenes arbitrarias.
Según la compañía, los atacantes están combinando el analizador de diseño de Magento con el paquete beberlei/assert (que viene instalado por defecto) para llevar a cabo estas órdenes del sistema de manera remota.
Debido a que el bloque de diseño está asociado al proceso de pago en el carrito, este comando se ejecuta cada vez que se solicita <tienda>/checkout/cart.
El comando en cuestión, sed, se utiliza para insertar una puerta trasera de ejecución de código que luego activa un skimmer de pagos Stripe. Este skimmer tiene la tarea de capturar y filtrar información financiera, redirigiéndola a otra tienda Magento comprometida.
Estos acontecimientos se desarrollan en medio de acusaciones del gobierno ruso contra seis individuos por el uso de malware skimmer para robar información de pagos y tarjetas de crédito de tiendas de comercio electrónico extranjeras, desde finales de 2017 al menos.
Los acusados son Denis Priymachenko, Alexander Aseyev, Alexander Basov, Dmitry Kolpakov, Vladislav Patyuk y Anton Tolmachev. Según informes de Recorded Future News, los arrestos tuvieron lugar hace un año, según documentos judiciales.
La Fiscalía General de la Federación de Rusia afirmó que los miembros del grupo de piratas informáticos obtuvieron ilegalmente información sobre casi 160.000 tarjetas de pago de ciudadanos extranjeros y luego las comercializaron a través de sitios web clandestinos.
Fuente: TheHackerNews.com