- Magento/Adobe CommerceのPolyShell脆弱性が大量に悪用され、脆弱なストアの半分以上に影響
- 攻撃者が独新なWebRTCベースのクレジットカードスキマーをデプロイしてセキュリティ管理を回避
- 3月19日以降、高価値のeコマースサイトを含む侵害されたバージョンがターゲットに
新たに発見されたMagento Open SourceおよびAdobe Commerceの特定のインストールにおける脆弱性PolyShellが、現在多数のウェブサイトへの攻撃に積極的に使用されていると、研究者らは警告している。
上記のソフトウェアの安定版バージョン2のインストールに影響する新しい脆弱性が発見され、脅威行為者が認証なしで悪意のあるコードを実行し、ユーザーアカウントを乗っ取ることを可能にしている。
Adobeはこれにパッチを当てたが、修正はバージョン2.4.9の第2アルファリリースでのみ利用可能であり、本番環境のバージョンは脆弱なままであることを意味する。
記事は以下に続く
100億ドル企業をターゲットに
当時、セキュリティ研究者Sansecはウェブサイト管理者にpub/media/custom_options/フォルダへのアクセスを制限し、nginxまたはApacheルールがアクセスを防いでいることを確認し、ストアに対してアップロードされたマルウェアとバックドアをスキャンするよう助言した。
また、当初は野外での悪用の証拠がなかったが、エクスプロイト方法が「すでに流通している」ことを強調した。
現在、Sansecが脆弱なストアの半分以上がターゲットにされていると述べているため、予測が真実であったように見える。
「PolyShellの大規模な悪用は3月19日に始まり、Sansecは現在、脆弱なストアの56.7%に対するPolyShell攻撃を発見している」とSansecは述べた。ターゲットされたサイトの実数は示していない。
一部の攻撃では、脅威行為者は以前見られなかったクレジットカードスキマーをデプロイしている。このスキマーは、データを流出させるためにWeb Real-Time Communication (WebRTC)を使用しているようで、かなり新しいアプローチである。BleepingComputerが説明したように、WebRTCはHTTPではなくDTLS暗号化UDPを使用しており、「’connect-src.’のような厳格なContent Security Policy (CSP)コントロールを持つサイト上でさえも」セキュリティコントロールを回避するのに優れている。
スキマーはJavaScriptで構築され、ハードコードされたC2サーバーに接続し、そこから第2段階のペイロードを受け取る。100億ドル以上の価値がある自動車メーカーに属するeコマースウェブサイトで最初に発見された。
もちろん、あなたはまたTikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式のアンボックスを見ることができます。またWhatsAppで私たちから定期的な更新を受け取ることができます。
