Kybernetická bezpečnost čelí další výzvě. Výzkumníci z bezpečnostní společnosti Sansec odhalili masivní supply-chain útok zaměřený na e-commerce platformy. Útočníci pronikli do softwarových balíčků tří poskytovatelů rozšíření pro systém Magento a infikovali minimálně 500 webů škodlivým kódem. Zasaženi jsou provozovatelé obchodů i jejich zákazníci, kterým hrozí zcizení platebních údajů přímo při nákupu.

Dormantní malware čekal šest let

Útok je výjimečný v několika ohledech. Největší znepokojení vyvolává fakt, že škodlivý kód byl aktivován až po šesti letech spánku, během nichž se zřejmě podařilo napadený software šířit mezi stovky, možná i tisíce obchodníků. Až nyní začal škodlivý skript aktivně spouštět kód v prohlížečích návštěvníků e-shopů.

Sansec varuje, že dopad může být obrovský. Útok zasáhl minimálně jednoho nadnárodního klienta s obratem přes 40 miliard dolarů. Jméno firmy zatím nebylo zveřejněno, ale bezpečnostní odborníci upozorňují, že „globální náprava je stále velmi omezená“.

Jak útok funguje?

V jádru útoku stojí PHP backdoor, který umožňuje útočníkům spouštět libovolný kód na serveru obchodu. Ten pak do stránek injektuje skimmer – škodlivý JavaScript, který se aktivuje v prohlížeči každého návštěvníka a nepozorovaně odesílá citlivá data, jako jsou údaje z platebních karet, adresy nebo přihlašovací informace.

V typické podobě útok využívá nenápadnou PHP funkci s názvem adminLoadLicense, která načítá soubor $licenseFile a spouští jeho obsah. Pokud je v požadavku tajný klíč, útočník získává úplnou kontrolu nad e-shopem.

protected function adminLoadLicense($licenseFile)

{

               $data = include_once($licenseFile);

}

Následuje řetězec funkcí, který končí spuštěním kódu na straně návštěvníka. Jedná se o typický modus operandi tzv. Magecart útoků.

Zdroj: Shutterstock

Kdo je za útokem?

Z kompromitovaných poskytovatelů Sansec jmenoval tři hlavní:

• Tigren
• Magesolution (MGS)
• Meetanshi

Všichni tři vyvíjejí rozšíření pro Magento, open-source platformu, kterou od roku 2018 vlastní Adobe. Čtvrtý poskytovatel, Weltpixel, je v podezření, ale zatím nebylo potvrzeno, zda byl infikován jeho software nebo přímo jeho zákazníci.

Sansec tvrdí, že Tigren a MGS stále distribuují infikované verze svých doplňků, zatímco Meetanshi útok popírá, ale přiznává kompromitaci. Nikdo z dotčených firem se k incidentu oficiálně nevyjádřil.

Které moduly jsou nakažené?

Sansec identifikoval celkem 21 infikovaných rozšíření. Zde je jejich přehled podle poskytovatele:

Tigren

• Ajaxsuite
• Ajaxcart
• Ajaxlogin
• Ajaxcompare
• Ajaxwishlist
• MultiCOD

Meetanshi

• ImageClean
• CookieNotice
• Flatshipping
• FacebookChat
• CurrencySwitcher
• DeferJS

MGS

• Lookbook
• StoreLocator
• Brand
• GDPR
• Portfolio
• Popup
• DeliveryTime
• ProductTabs
• Blog

Co mohou správci e-shopů dělat?

Pokud provozujete e-shop na bázi Magenta a používáte některý z výše uvedených doplňků, okamžitě proveďte důkladnou bezpečnostní kontrolu. Doporučuje se hledat výskyt podezřelé funkce adminLoadLicense a prohledat server na přítomnost skriptů, které obsahují výrazy jako $licenseFile.

Sansec zároveň poskytuje nástroje pro detekci a odstranění infekce. Důrazně doporučuje:

• Odpojit napadený e-shop od internetu
• Provést forenzní analýzu a audit změn
• Změnit přístupové údaje ke všem účtům
• Informovat zákazníky a dodržet zákonné oznamovací povinnosti (např. GDPR)

Proč je tento útok nebezpečný?

Supply-chain útoky mají devastující účinek, protože neútočí přímo na oběť, ale na její důvěryhodné dodavatele. V tomto případě infikovaný software koloval v ekosystému Magento po dobu několika let, aniž by si toho kdokoli všiml. Skrytý kód se mohl snadno dostat i do prostředí, která podléhají přísné regulaci, jako jsou zdravotnické nebo finanční služby.

Kombinace dlouhé nečinnosti a náhlé aktivace činí tento útok výjimečným. Vzniká otázka, kolik dalších dodavatelských řetězců je podobně kompromitovaných, aniž by to kdokoli věděl.

Tento incident je důrazným varováním nejen pro e-shopaře, ale i pro vývojáře a správce systémů. Důvěra v open-source ekosystém musí být vždy vyvážena důslednou bezpečnostní kontrolou. Pokud používáte Magento nebo jeho rozšíření, je nejvyšší čas prověřit, co se ve vašem systému skutečně skrývá.