Los investigadores de ciberseguridad descubrieron recientemente una vulnerabilidad crítica en Magento, que permitía a los actores de amenazas implementar puertas traseras persistentes en servidores vulnerables.
A fines de la semana pasada, los expertos de Sansec publicaron una publicación de blog que detalla una “plantilla de diseño inteligentemente diseñada en la base de datos”, que se utiliza para inyectar malware automáticamente.
La plantilla abusó de una vulnerabilidad de “neutralización inadecuada de elementos especiales”, ahora rastreada como CVE-2024-20720, y con una puntuación de gravedad de 9,1 (crítica).
Dirigirse a los europeos
Magento es una plataforma de comercio electrónico de código abierto escrita en PHP. Adobe lo adquirió a mediados de 2018, por 1.680 millones de dólares. Hoy en día, más de 150.000 tiendas online utilizan Magento, que generalmente se percibe como una de las principales plataformas de comercio electrónico que existen.
«Los atacantes combinan el analizador de diseño de Magento con el paquete beberlei/assert (instalado por defecto) para ejecutar comandos del sistema», dijeron los investigadores en su artículo. «Debido a que el bloque de diseño está vinculado al carrito de pago, este comando se ejecuta cada vez que se solicita
El comando en este caso se llama sed y agrega una puerta trasera al controlador CMS. «Inteligente, porque el malware se reinyectaría después de una reparación manual o una ejecución bin/magento setup:di:compile:», concluyeron.
Magento solucionó el fallo con un parche de seguridad publicado el 13 de febrero de este año, por lo que si aún no lo has instalado, ahora sería un buen momento.
Dada la popularidad de Magento, no sorprende que sea un objetivo importante. Uno de los mayores estafadores de tarjetas de crédito que existen se llama MageCart, y la última vez que supimos de él, los actores de amenazas han estado utilizando la herramienta para atacar sitios web que ejecutan versiones obsoletas y no compatibles de Magento en masa.
En febrero de 2022, Sansec descubrió más de 500 infecciones ocurridas el mismo día, con el mismo malware. Los investigadores dijeron que los atacantes utilizaron el dominio naturalfreshmalll.com (rápidamente desaparecido) para cargar el malware en sitios web de comercio electrónico que ejecutan Magento 1.
Esta versión llegó al final de su vida útil el 30 de junio de 2020, lo que significa que ya no recibe actualizaciones periódicas de seguridad y usabilidad, lo que la convierte en un objetivo perfecto para los ciberdelincuentes.
A través de TheHackerNoticias