Érintettek között a Cloudflare, WordPress és a Magento is…
Billentyűzetfigyelő vírus fertőzött
meg több,mint 5000 WordPress oldalt
A Sucuri Labs részlege 2017. november végén adott hírt egy kártékony kódrészletről, mely a megtámadott weboldalakba ágyazva a Coinhive Javascript alapú bányászprogramját futtatta. A program értesítés nélkül futott minden olyan látogató számítógépén, akik a fertőzött weboldalakat meglátogatták. A kibányászott monero (XMR) kriptovalutát pedig a vírus készítője kapta meg.
Hogy ne legyen nyilvánvaló a Coinhive által kiadott gyári kódrészlet, a vírus készítői a script egyes részleteit átírták. Így azok első ránézésre jQuery Javascript állománynak, illetve Google Analytics változóknak tűntek. A Sucuri akkori gyors keresése 1833 fertőzött weboldalt talált.
Hamis Cloudflare weboldal
Ugyanígy a Sucuri Labs jelentette még áprilisban a cloudflare.solutions weboldalt, mely a népszerű Cloudflare szolgáltatás részének tüntette fel magát, miközben Oroszországból regisztrálták, és Ukrajnából működtették.
A hamis weboldal a WordPress oldalak functions.php fájljába injektált egy kódrészletet, melynek segítségével a cloudflare.solutions reklámokat jelenített meg a felhasználók számára. 15 másodperccel az oldal megtekintése után, a látogató orosz képkiszolgálóról megjelenített potencianövelő szerek reklámját kapta, melyre kattintva vásárolni is tudott.
A megoldás tökéletes példája volt az új típusú domain végződések kártékony használatának, amikor a segédletükkel csapják be a valódinak tűnő weboldalak látogatóit.
A Sucuri blog decemberi posztjában már 5482 olyan weboldalt említett, melyet a cloudflare.solutions vírusa fertőzött meg[3]. Egy kisebb változás történt az első észlelés óta, mely szerint a .solutions végződésű weboldal már nem állította magáról, hogy a Cloudflare hálózat része. Ehelyett egy kísérleti tudományos projekt részeként tűnt fel, mely a gépi tanulás algoritmusát vizsgálta.
A nagyobb változás viszont abban nyilvánult meg, hogy a script egy billentyűzetfigyelőt is beszúrt a functions.php fájlba, méghozzá a valódi Cloudflare nevének felhasználásával. A kódrészletben két változóban is megtalálható volt a cloudflare.com url-je, ezek azonban a valóságban nem létező helyre mutattak.
A trükk a nem létező webcímek paramétere volt, melyek ránézésre csak hexadecimális számoknak tűntek. A kártékony script épp ezeket a számsorozatokat dekódolta, melyek kiadták egy billentyűzetfigyelő kódját. Ez minden fertőzött WordPress weboldal aloldalain is lefutott, beleértve a bejelentkezésért felelős űrlapokat.
A gyanútlan látogatók így az injektált oldalak használatakor elküldték a bejelentkezési adataikat a cloudflare.solutions oldal részére. Ha a fertőzött weboldal pedig épp egy webshop volt, akkor a látogatók a vásárlási folyamat során megadott minden adatukat is átadták a hackerek részére.
A cloudflare.solutions weboldalt nem sokkal később lekapcsolták.
Magento oldalt törtek fel az ügyfélszolgálati modulon keresztül
Willem de Groot holland biztonsági szakértő online áruházak biztonsági hibáinak feltárására szakosodott. Egyik legfrissebb blogbejegyzésében feltárt egy támadási módot[1], ahol a népszerű Magento ügyfélszolgálati modulon, a Mirasvit Helpdesken keresztül törtek be hackerek egy webshopra.
2017. szeptemberében már a magyar WebShield is felhívta a figyelmet két olyan hibára, mely szintén a Miravit eme moduljához kötődött.[2] A hibák a Mirasvit Helpdesk modul 1.5.3-as verziójáig álltak fenn.
A WebShield akkor azt találta, hogy lehetőség volt kártékony fájl feltöltésére, mivel nem történt szűrés a folyamat során. Habár a fájlokat a rendszer kiterjesztés nélkül tárolta, egy adminisztrátor az akár kártékony kódot tartalmazó fájlt le tudta futtatni.
A másik felfedezett hiba a felhasználó által bevitt adatok nem megfelelő szűrésére mutatott rá. Itt az ügyfél nevében lehetőség volt script beszúrására, s ezt a Mirasvit Helpdesk modul elfogadta. Hibajegy beküldésekor pedig a script már az admin felületen futott le. Ugyanez a hiba a hibajegy tárgyában is fennállt.
A chat a hibás
Willem de Groot leírta, hogy a feltört Magento oldalnál a fentebb említett hibák közül a másodikat használták ki. A modul chat részének segítségével ártatlannak látszó üzenetet küldtek a weboldal tulajdonosának, ahol felkínálták egy jobb dizájn elkészítését, egy gmailes címmel együtt. Így a beküldés egy ártalmatlan spamnek nézett ki.
Eközben script részeket is beszúrtak a szöveg mellé, s az egész üzenet bekerült a Magento adatbázisába. Amikor az admin elolvasta, csak a szöveget látta, a script kódja pedig lefutott a háttérben. Ennek hatására kártékony kód került a webshop láblécébe, mely utána minden aloldalon megjelent. A script célja hitelkártya adatok ellopása volt, miközben az ügyfél megadta azokat a fizetési folyamat során.
De Groott a blogján segítséget adott ahhoz, hogy az Magento modult használó ügyfelek tesztelhessék, saját webshopjukat feltörték-e már az említett módszerrel. A Mirasvit elismerte a hibát, s felhívta a figyelmet a modul frissítésének fontosságára. Eközben értesítik az összes olyan ügyfelüket, akik még nem frissítették az elavult moduljuk a legújabb verzióra.
Forrás:
http://labs.sucuri.net/?note=2017-11-24
http://labs.sucuri.net/?note=2017-04-03
https://blog.sucuri.net/2017/12/cloudflare-solutions-keylogger-on-thousands-of-infected-wordpress-sites.html
https://gwillem.gitlab.io/2017/12/28/hackers-breach-magento-through-helpdesk/
https://www.webshield.hu/vulnerabilities-found-webshield.html
https://mirasvit.com/blog/helpdesk-mx-for-magento-1-security-issue.html