Se ha descubierto un ataque dirigido a sitios web de comercio electrónico que involucra la explotación de una falla crítica en Magento. La falla en cuestión, CVE-2024-20720 (CVSS score: 9.1), fue abordada por Adobe como parte de las actualizaciones de seguridad lanzadas el 13 de febrero de 2024. Sin embargo, los actores de amenazas han descubierto una plantilla de diseño inyectada en la base de datos de Magento que les permite automáticamente inyectar código malicioso y ejecutar comandos arbitrarios.
Es importante destacar que los atacantes utilizan el analizador de diseño de Magento en combinación con el paquete beberlei/assert (que viene instalado por defecto) para ejecutar comandos del sistema. Cada vez que se solicita /checkout/cart, el bloque de diseño se vincula al carrito de compras, lo que provoca la ejecución del comando. El comando en cuestión es sed, que se utiliza para insertar un backdoor de ejecución de código. Dicho backdoor es responsable de entregar un skimmer de pago de Stripe que tiene como objetivo capturar y exfiltrar información financiera a otra tienda Magento comprometida.
Cabe destacar que este ataque se produce después de que el gobierno ruso haya acusado a seis personas de usar malware skimmer para robar información financiera de tarjetas de crédito y pagos de tiendas de comercio electrónico extranjeras desde finales de 2017. Los sospechosos son Denis Priymachenko, Alexander Aseyev, Alexander Basov, Dmitry Kolpakov, Vladislav Patyuk y Anton Tolmachev. Según los documentos judiciales citados por Recorded Future News, las detenciones se realizaron hace un año.
Este último desarrollo destaca aún más la importancia de que las empresas de comercio electrónico mantengan actualizado su software y sigan las mejores prácticas de seguridad para protegerse contra estos tipos de ataques. El uso de una solución de seguridad de endpoints confiable y la educación de los usuarios finales también son claves en la prevención de este tipo de incidentes.
Vía The Hacker News
