E’ in corso una campagna di malware che colpisce siti di e-commerce basati su Magento. A subire l’attacco sono gli store dotati di una versione obsoleta del software, che non hanno messo in sicurezza i propri store aggiornando la versione del software tramite le patch rilasciate periodicamente da Magento.
Gli hacker stanno iniettando script maligni che creano iframe dal dominio guruincsite, che Google ha inserito nella lista nera ( vedi il rapporto sulla trasparenza di Google). Il dato è stato diffuso dalla società Sucuri, che opera a livello globale nell’ambito della sicurezza tecnologica in rete.
Secondo il loro Rapporto da circa 10 giorni migliaia di negozi online dotati di una versione obsoleta di Magento sono stati infettati con il codice maligno. I cybercriminali abusano delle falle nella sicurezza, ancora presenti nelle versioni più datate, per infettare gli store tramite il codice maligno. Per lanciare gli script vengono utilizzati degli exploit-kit, in base alla versione di Magento impiegata. Il kit è uno strumento che racchiude una moltitudine di diversi attacchi che sfruttano le vulnerabilità del sistema (exploits). Non appena un utente visita una pagina web manipolata, l’exploit-kit esamina le possibili falle nella sicurezza del PC impiegato per accedervi (browser, software installati o sistema operativo). In base alle vulnerabilità rilevate, lo strumento invia automaticamente al client un exploit corrispondente, in grado di sfruttare la falla e di scaricare successivamente ulteriori codici maligni in modo del tutto impercettibile sul PC vulnerabile (drive-by-Infektion).
Gli exploit-kit sono progettati per impossessarsi delle credenziali di accesso alle piattaforme e delle informazioni sui metodi pagamento, utenti, etc. Per dimensioni si tratta di uno degli attacchi più forti degli ultimi anni, ed è ancora in corso.
Denis Sinegubko, Senior Malware Researcher in Sucuri, ha dichiarato che il malware di solito viene nascosto nella progettazione / piè di pagina / ingresso absolute_footer del tavolo core_config_data, ma suggerisce la scansione l’intero database ( la vulnerabilità consente l’accesso al database, e gli hackers potrebbero creare falsi utenti admin ), dei files core e delle estensioni; gli esperti che stanno attualmente indagando il vettore sospettano infatti che si tratti di una vulnerabilità di una delle estensioni di terze parti che hanno permesso al malware di infettare migliaia di siti in breve tempo ( forse Magmi).
Tecnolife, in qualità di azienda operante quotidianamente sul software Magento, è a conoscenza che a subire l’attacco sono soltanto gli store dotati di una versione obsoleta di Magento, e che non hanno provveduto a metterlo in sicurezza aggiornando la versione del software e i plugin o moduli utilizzati. In qualità di Magento Solution Partner possiamo informare gli interessati che Magento sta per rilasciare una nuova patch.
La nuova patch affronte oltre 10 problemi di sicurezza individuati attraverso il programma di sicurezza globale Magento, tra cui l’esecuzione di codici e fughe di informazioni che creano vulnerabilità rispetto alla recente edizione del malware. Non ci sono rapporti confermati di attacchi correlati a queste problematiche ad oggi, ma per Magento eBay è importante garantire la massima sicurezza ai propri Clienti e a tutti gli operatori di settore.
L’implementazione della patch andrebbe realizzata da un tecnici competenti e testata in un ambiente di sviluppo: ciò è particolarmente importante in quanto ogni patch può interrompere la compatibilità delle estensioni o personalizzazioni del Cliente.
Detto questo, si consiglia vivamente ai merchant di attivare il nuovo codice il più presto possibile per proteggere i loro siti da attacchi automatizzati.
Magento ha fornito ai suoi Partner un documento operativo di guida: le patch sono disponibili per Magento Enterprise Edition 1.7 e versioni successive e Magento Community Edition 1.4 e versioni successive.
Come società Partner siamo a disposizione per fornire assistenza e supporto a tutti i merchant, in quanto le attività di aggiornamento non sono semplici: gli store devono prima mettere in atto tutte le patch di sicurezza precedenti. Questo farà sì che la nuova patch funzioni correttamente.