Redazione RHC : 25 Novembre 2022 08:00
Secondo gli specialisti della società di sicurezza e-commerce Sansec, almeno sette gruppi di hacker sono dietro i massicci attacchi TrojanOrders che hanno recentemente colpito i siti basati su Magento 2.
Tali attacchi utilizzano la vulnerabilità CVE critica scoperta e corretta all’inizio dell’anno. Si tratta della CVE-2022-24086 che riguarda Adobe Commerce e Magento.
La vulnerabilità CVE-2022-24086 (9,8 punti su 10 sulla scala CVSS) è stata scoperta e corretta nel febbraio 2022. Il bug era un bug che consentiva l’esecuzione di codice arbitrario remoto senza autenticazione. Secondo Adobe, la radice del problema era la convalida dell’input errata.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Fin dall’inizio, è stato riferito che gli hacker avevano già iniziato a sfruttare il problema. Successivamente, a tali attacchi che hanno utilizzato la CVE-2022-24086 è stato dato il nome TrojanOrders (“Trojan Orders”), poiché gli aggressori hanno l’opportunità di eseguire codice e iniettare RAT (trojan di accesso remoto) su siti di negozi non aggiornati.
In genere, quando vengono eseguiti attacchi con TrojanOrders, gli hacker creano un account sul sito di destinazione e inseriscono un ordine che contiene codice dannoso in uno dei campi.
Ad esempio, l’attacco riportato nella print screen sopra inietta una copia del file health_check.php nel sito, che contiene una backdoor PHP che può eseguire comandi inviati tramite richieste POST. Una volta preso possesso del sito, gli aggressori implementano i RAT per garantire un accesso costante e la possibilità di eseguire azioni più complesse.
Allo stesso tempo, in molti casi studiati da Sansec, subito dopo la compromissione, i malintenzionati hanno cercato nel sito il file health_check.php per determinare se un altro gruppo avesse precedentemente infettato la risorsa. Se la risposta è positiva, gli aggressori sostituiscono questo file con la propria backdoor.
Alla fine, gli aggressori modificano il codice del sito inserendovi codice JavaScript dannoso, che ruba informazioni sui clienti e sui numeri delle loro carte bancarie.
Sfortunatamente, secondo gli analisti di Sansec, gli amministratori di molti siti non hanno ancora installato le patch necessarie e la vulnerabilità rappresenta ancora una minaccia significativa. I ricercatori affermano che quasi il 40% dei siti Magento 2 viene attaccato, con gruppi di hacker che si combattono letteralmente tra loro per il controllare le istanze infette.
“Sansec stima che almeno un terzo di tutti i negozi Magento e Adobe Commerce non abbia ancora ricevuto le patch”, avverte Sansec.
Tali attacchi possono portare a gravi guasti nel funzionamento dei siti e al massiccio furto di carte bancarie degli acquirenti, soprattutto alla luce dell’imminente Black Friday e Cyber Monday.
Peggio ancora, i ricercatori ritengono che questa tendenza continuerà mentre ci avviciniamo a Natale e Capodanno. Il fatto è che gli exploit PoC per questo problema siano disponibili da molto tempo e sono inclusi in molti kit, il numero di siti privi di patch è ancora elevato e la stagione delle vendite natalizie sta arrivando.
Si noti che gli exploit sono diventati così numerosi da essere venduti a soli 2.500 dollari, mentre all’inizio del 2022 costano tra i 20.000 e i 30.000 dollari.
RedazioneMolti di noi sono cresciuti con Hiroshi Shiba, di Jeeg robot d’acciaio che parlava con il defunto padre, il Professor Senjiro Shiba, scienziato e archeologo all’interno di un grande elaboratore. I...
Il traffico globale, come sanno i lettori di RHC, viaggia per la maggior parte sotto il mare. Secondo TeleGeography, istituto specializzato nelle telecomunicazioni, nel mondo sono attivi più di 530 s...
Un’analisi condotta negli ultimi mesi aveva evidenziato come l’evoluzione dei sistemi di intelligenza artificiale stesse raggiungendo un punto critico per la sicurezza informatica, con capacità r...
Gli aggressori stanno attivamente sfruttando una falla critica nel sistema di protezione delle applicazioni web FortiWeb (WAF) prodotto da Fortinet, che potrebbe essere utilizzata come mezzo per condu...
Su uno dei più noti forum russi per la compravendita di vulnerabilità e strumenti offensivi, il thread è arrivato come una normale inserzione commerciale, ma il contenuto è tutt’altro che banale...
