CDR.cz - Vybráno z IT

Supply-chain útok zasáhl stovky e-shopů: Zákazníci jsou také v ohrožení

Zdroj: Shutterstock

Stovky e-shopů čelí rozsáhlému supply-chain útoku, při němž útočníci infikovali oblíbené rozšíření pro platformu Magento. Malware skrytý v kódu se v některých případech nepozorovaně šířil až šest let a nyní ohrožuje platební údaje zákazníků přímo při nákupu.

Kybernetická bezpečnost čelí další výzvě. Výzkumníci z bezpečnostní společnosti Sansec odhalili masivní supply-chain útok zaměřený na e-commerce platformy. Útočníci pronikli do softwarových balíčků tří poskytovatelů rozšíření pro systém Magento a infikovali minimálně 500 webů škodlivým kódem. Zasaženi jsou provozovatelé obchodů i jejich zákazníci, kterým hrozí zcizení platebních údajů přímo při nákupu.

Dormantní malware čekal šest let

Útok je výjimečný v několika ohledech. Největší znepokojení vyvolává fakt, že škodlivý kód byl aktivován až po šesti letech spánku, během nichž se zřejmě podařilo napadený software šířit mezi stovky, možná i tisíce obchodníků. Až nyní začal škodlivý skript aktivně spouštět kód v prohlížečích návštěvníků e-shopů.

Sansec varuje, že dopad může být obrovský. Útok zasáhl minimálně jednoho nadnárodního klienta s obratem přes 40 miliard dolarů. Jméno firmy zatím nebylo zveřejněno, ale bezpečnostní odborníci upozorňují, že „globální náprava je stále velmi omezená“.

Jak útok funguje?

V jádru útoku stojí PHP backdoor, který umožňuje útočníkům spouštět libovolný kód na serveru obchodu. Ten pak do stránek injektuje skimmer – škodlivý JavaScript, který se aktivuje v prohlížeči každého návštěvníka a nepozorovaně odesílá citlivá data, jako jsou údaje z platebních karet, adresy nebo přihlašovací informace.

V typické podobě útok využívá nenápadnou PHP funkci s názvem adminLoadLicense, která načítá soubor $licenseFile a spouští jeho obsah. Pokud je v požadavku tajný klíč, útočník získává úplnou kontrolu nad e-shopem.

protected function adminLoadLicense($licenseFile)

{

               $data = include_once($licenseFile);

}

Následuje řetězec funkcí, který končí spuštěním kódu na straně návštěvníka. Jedná se o typický modus operandi tzv. Magecart útoků.

Zdroj: Shutterstock

Kdo je za útokem?

Z kompromitovaných poskytovatelů Sansec jmenoval tři hlavní:

  • Tigren
  • Magesolution (MGS)
  • Meetanshi

Všichni tři vyvíjejí rozšíření pro Magento, open-source platformu, kterou od roku 2018 vlastní Adobe. Čtvrtý poskytovatel, Weltpixel, je v podezření, ale zatím nebylo potvrzeno, zda byl infikován jeho software nebo přímo jeho zákazníci.

Sansec tvrdí, že Tigren a MGS stále distribuují infikované verze svých doplňků, zatímco Meetanshi útok popírá, ale přiznává kompromitaci. Nikdo z dotčených firem se k incidentu oficiálně nevyjádřil.

Které moduly jsou nakažené?

Sansec identifikoval celkem 21 infikovaných rozšíření. Zde je jejich přehled podle poskytovatele:

Tigren

  • Ajaxsuite
  • Ajaxcart
  • Ajaxlogin
  • Ajaxcompare
  • Ajaxwishlist
  • MultiCOD

Meetanshi

  • ImageClean
  • CookieNotice
  • Flatshipping
  • FacebookChat
  • CurrencySwitcher
  • DeferJS

MGS

  • Lookbook
  • StoreLocator
  • Brand
  • GDPR
  • Portfolio
  • Popup
  • DeliveryTime
  • ProductTabs
  • Blog

Co mohou správci e-shopů dělat?

Pokud provozujete e-shop na bázi Magenta a používáte některý z výše uvedených doplňků, okamžitě proveďte důkladnou bezpečnostní kontrolu. Doporučuje se hledat výskyt podezřelé funkce adminLoadLicense a prohledat server na přítomnost skriptů, které obsahují výrazy jako $licenseFile.

Sansec zároveň poskytuje nástroje pro detekci a odstranění infekce. Důrazně doporučuje:

  • Odpojit napadený e-shop od internetu
  • Provést forenzní analýzu a audit změn
  • Změnit přístupové údaje ke všem účtům
  • Informovat zákazníky a dodržet zákonné oznamovací povinnosti (např. GDPR)

Proč je tento útok nebezpečný?

Supply-chain útoky mají devastující účinek, protože neútočí přímo na oběť, ale na její důvěryhodné dodavatele. V tomto případě infikovaný software koloval v ekosystému Magento po dobu několika let, aniž by si toho kdokoli všiml. Skrytý kód se mohl snadno dostat i do prostředí, která podléhají přísné regulaci, jako jsou zdravotnické nebo finanční služby.

Kombinace dlouhé nečinnosti a náhlé aktivace činí tento útok výjimečným. Vzniká otázka, kolik dalších dodavatelských řetězců je podobně kompromitovaných, aniž by to kdokoli věděl.

Tento incident je důrazným varováním nejen pro e-shopaře, ale i pro vývojáře a správce systémů. Důvěra v open-source ekosystém musí být vždy vyvážena důslednou bezpečnostní kontrolou. Pokud používáte Magento nebo jeho rozšíření, je nejvyšší čas prověřit, co se ve vašem systému skutečně skrývá.