攻撃者が3年前の脆弱性のおかげでEスキマーをインストール、FBIが警告

技術用語のサイバーセキュリティ用語集の他のエントリとは異なり、「e-スキマー」という言葉は簡単に説明できます。物理的なカードスキマーがATMからバンキングカードの詳細をこすり取るように、e-スキマーはeコマースWebサイトのチェックアウトページから買い物客の財務データを盗みます。奇妙なことに、しかしながら、サイバーセキュリティの専門家は今日「e-スキマー」という言葉を使うことはほとんどありません。これらの攻撃のほとんどは、現在「Magecart」という用語で説明されています。これは、過去数年間、ほとんどのeスキマーがeコマースWebサイトのオープンソースプラットフォームであるMagentoで構築されたオンラインショップにインストールされているためです。

当初、「Magecart」という用語は、カードを盗むJavaScriptコードを数行オンラインストアのチェックアウトページに挿入していたハッカーの単一グループに関連付けられていましたが、その後、マルウェアは非常に多くの異なる脅威アクターに非常に人気を博し、このタイプのすべての攻撃の総称になった。かなりの数の有名なWebサイトがMagecart攻撃の犠牲になり、昨年10月、FBI はオンラインショップの管理者にMagecartに関連するリスクについて警告しただけでした。

予想通り、誰もが耳を傾けるわけではなく、マジェカートは一晩で消えることはありませんでした。それどころか、eコマースのWebサイトは引き続きMagecart感染に悩まされており、サイバーセキュリティの専門家や法執行機関はそれらを阻止し続けています。最近、FBIはさらに別の警告を発行しました。今回は、Magecartの俳優が使用する特定の攻撃ベクトルについて説明しています。

ハッカーは脆弱なMagentoプラグインを使用してMagecart攻撃を開始します

悪意のあるコードをWebサイトに挿入するために、ハッカーは何らかの方法でターゲットのセキュリティを危険にさらす必要があり、FBIは彼らの行動に少し傾向があることに気づいたようです。 ZDNetによると、Magento Mass Import（またはMAGMI）と呼ばれる古いMagentoプラグインを使用するオンラインショップのオーナーは、必要な措置を講じてWebサイトのセキュリティを向上させることが求められています。

2017年4月、セキュリティの専門家がMAGMI 0.7.22にクロスサイトスクリプティングの脆弱性を発見しました。これにより、ハッカーはファイルにアクセスし、悪意のあるコードを標的のWebサイトに挿入できます。脆弱性はCVE-2017-7391として追跡され、明らかに多くのWebサイトにまだ存在しています。 FBIの警告によると、CVE-2017-7391によって最近の攻撃のかなりの数が促進されました。ハッカーがコードを挿入すると、マルウェアは疑いを持たない購入者の財務情報をこすり取り、Base64でエンコードしてJPGファイルにして、サイバー犯罪者に送信します。

CVE-2017-7391は少し前に修正され、MAGMIをバージョン0.7.23にアップデートすると、この特定の感染経路が停止します。彼らの警告には、管理者がWebサイトのセキュリティを向上させるために使用できる侵害の指標も含まれていました。残念ながら、これはMagentoベースのオンラインショップを適切に保護するには十分ではない可能性があります。

オンラインストアはまだMagentoを使用しています1

問題はあなたが思っているよりも大きく、なぜこれが当てはまるのかを理解するには、少し歴史のレッスンが必要です。 Magentoは当初Varienと呼ばれる会社によって開発され、2008年3月に発売されました。かなりの遅延の後、最新のメジャーリリースであるMagento 2.0は、7年後の2015年11月にライトアップしました。

FBIアラートを引き起こした3年前の脆弱性であるCVE-2017-7391は、Magento 1でのみ機能するプラグインであるMAGMIにあります。つまり、ウェブサイトがMAGMIを使用している場合、かなり古いプラットフォームで構築されています。 。さらに、2020年6月30日をもって、すべてのMagento 1.xバージョンがサポート終了となり、セキュリティアップデートの受信が停止されます。

つまり、MAGMIプラグインを更新した後、この攻撃の影響を受ける可能性のある管理者は、ショップをより最新でより安全なプラットフォームに移行することも検討する必要があります。