Bővítmény hátsó bejárattal
A Sansec jelentése szerint egy koordinált ellátási lánc támadás során több népszerű Magento e-kereskedelmi bővítménybe back door-t építettek be, amely akár hat évig is észrevétlen maradt. A támadás során a Tigren, Magesolution (MGS) és Meetanshi nevű fejlesztők szerverei kompromittálódtak, és az általuk kínált bővítményekbe rosszindulatú kód került. Ezek a bővítmények 2019 és 2022 között kerültek kiadásra, és a becslések szerint 500–1000 webáruház lehet érintett világszerte, köztük egy 40 milliárd dolláros multinacionális vállalat is.
A back door egy hamis licencellenőrzést végző fájlban (License.php vagy LicenseApi.php) található, amely lehetővé teszi a támadók számára, hogy távolról tetszőleges PHP kódot futtassanak az érintett rendszereken. A támadók egy speciális HTTP-kéréssel aktiválhatják a rosszindulatú funkciókat, amelyek között szerepel új fájlok feltöltése és végrehajtása. A korábbi verziókban ez a funkció hitelesítés nélkül is elérhető volt, míg az újabb verziókban egy előre meghatározott kulcs szükséges az aktiváláshoz.
A Sansec felhívja a figyelmet arra, hogy az érintett bővítmények használata komoly biztonsági kockázatot jelent. A felhasználóknak javasolt azonnal ellenőrizniük webáruházaikat, és eltávolítani minden gyanús fájlt. A Sansec emellett arra kéri a közösséget, hogy osszák meg velük az eredeti forrásfájlokat további elemzés céljából.
