Araştırmacılar, kimliği doğrulanmamış saldırganların yama uygulanmamış sitelerde kod yürütmesine izin veren kritik bir Magento 2 güvenlik açığı olan CVE-2022-24086’yı hedefleyen bilgisayar korsanlığı girişimlerinde bir artış gözlemledi.
Magento, dünya çapında yaklaşık 170.000 çevrimiçi alışveriş web sitesi tarafından kullanılan, Adobe’ye ait açık kaynaklı bir e-ticaret platformudur.
CVE-2022-24086 güvenlik açığı keşfedildi ve Şubat 2022’de yamalı, tehdit aktörleri onu vahşi doğada zaten sömürerken. O zaman, CISA bir uyarı yayınladı site yöneticilerini mevcut güvenlik güncellemesini uygulamaya çağırıyor.
Birkaç gün sonra, güvenlik araştırmacıları bir kavram kanıtı (PoC) yayınladı. CVE-2022-24086 için istismarkitlesel sömürünün yolunu açıyor.
Sansec tarafından bugün yayınlanan bir rapora göre, kritik şablon güvenlik açığının yeraltı hackerlarının favorisi haline gelmesiyle bu aşamaya geldik.
Üç saldırı varyantı
Sansec’in analistleri, sömüren üç saldırı varyantı gözlemlediler. CVE-2022-24086 savunmasız uç noktalara uzaktan erişim truva atı (RAT) enjekte etmek.
Saldırılar etkileşimlidir çünkü Magento ödeme akışının otomatikleştirilmesi zordur ve saldırıların etkinliğini azaltabilir.
İlk varyant, ad ve soyadlarında kötü amaçlı şablon kodunu kullanarak hedef platformda yeni bir müşteri hesabı oluşturarak ve ardından sipariş vererek başlar.
Enjekte edilen kodun kodu, arka planda bir süreç olarak başlatılan bir Linux yürütülebilir dosyasını (“223sam.jpg”) indiren bir komuta dönüştürülür. Bu, komutları almak için Bulgaristan merkezli bir sunucuya telefon eden RAT’tır.
“Bu saldırı yöntemi, Adobe Commerce Cloud platformunun salt okunur kod tabanı ve pub/medya altında kısıtlı PHP yürütme gibi bazı güvenlik özelliklerini yener.” Sansec’i açıklıyor raporda.
“RAT, veritabanına ve çalışan PHP işlemlerine tam erişime sahiptir ve çok sunuculu bir küme ortamındaki herhangi bir düğüme enjekte edilebilir.”
İkinci saldırı, verilen siparişin KDV alanına şablon kodu ekleyerek bir PHP arka kapısının (“health_check.php”) enjeksiyonunu içerir.
Kod, POST istekleri aracılığıyla komutları kabul eden yeni bir dosya (“pub/media/health_check.php”) oluşturur.
Son olarak, üçüncü saldırı varyasyonu, “generated/code/Magento/Framework/App/FrontController/Interceptor.php” dosyasını kötü amaçlı, arka kapılı bir sürümle değiştirmek için yürütülen şablon kodunu kullanır.
Araştırmacılar, Magento 2 site yöneticilerini aşağıdakileri takip etmeye çağırıyor: bu destek sayfasındaki güvenlik yönergeleri ve yazılımlarını en son sürüme yükseltin.