Siga o Suporte Ninja por email

quarta-feira, 29 de abril de 2015

Magento 88 mil Lojas virtuais vulneráveis a SQL Inject (Atualização crítica)



Magento 88 mil Lojas virtuais vulneráveis a SQL Inject (Atualização crítica)


http://suporteninja.com/magento-88-mil-lojas-virtuais-vulneraveis-a-sql-inject-atualizacao-critica/

O Hacker Netanel Rubin encontrou uma vulnerabilidade remota crítica na plataforma Ebay Web commerce Magento que afeta 88 mil lojas e permite que os compradores possam comprar qualquer coisa de graça, mas pode comprometer cartões de crédito e dados pessoais.


O caçador vulnerabilidade CheckPoint diz que muitas lojas de bazar ainda estão vulneráveis ao bug que permite cheapskates para check-out com o uso de cupons falsos, os hackers podem roubar também credenciais e informações dos cartões.

“Este ataque não se limita a algum plugin ou tema específico do Magento.


“As vulnerabilidades estão presentes no núcleo do Magento, e afeta qualquer instalação padrão de ambas as Edições comunitárias e Enterprise.”
Magento 88 mil Lojas virtuais vulneráveis a SQL Inject (Atualização crítica)

Em menos de 24 horas desde a divulgação da vulnerabilidade do magento, começamos a ver muitos ataques via os registros WAF. Parece estar vindo de um grupo criminoso específico, uma vez que todos os ataques têm a mesma aparência: diz Rubin no seu report

O código utilizado é um SQL Injection (SQLi) que inseri um novo usuário Admin no banco de dados do magento. Se você tem uma loja virtual que utiliza Magento e suspeita que pode ter sido vítima, Procure olhar nos nomes de usuário… vpwq e defaultmanager são os usuários que estão sendo usados por este grupo de Cyber criminosos até o momento.

Note que estamos escondendo alguns dos detalhes, para torná-lo difícil para alguém simplesmente copiar e criar um exploit de fora. No entanto, alguns grupos já tem um exploit e estão atacando muitos sites e de forma muito rápida.

Magento 88 mil Lojas virtuais vulneráveis a SQL Inject (Atualização crítica)

Cerca de 200.000 lojas que usam o Magento foram afetadas final da semana passada, um número que, desde então, caiu em mais da metade.

A equipe de pesquisa foi capaz de capturar e analisar essa façanha. Até agora, ele só está tentando criar um usuário administrador falso dentro do banco de dados Magento. Que eles certamente vão utilizar mais tarde para tomar o controle do site.

Veja um exemplo da SQL Inject usada para adicionar uma nova conta admin no Magento

popularity[from]=0&popularity[to]=3&popularity[field_expr]=0);

SET @SALT = “rp”;

SET @PASS = CONCAT(MD5(CONCAT( @SALT , ‘123’) ), CONCAT(‘:’, @SALT ));

SELECT @EXTRA := MAX(extra) FROM admin_user WHERE extra IS NOT NULL;

INSERT INTO `admin_user` (`firstname`, `lastname`,`email`,`username`,`password`,`created`,`lognum`,`reload_acl_flag`,`is_active`,`extra`,`rp_token`,`rp_token_created_at`) VALUES (‘Firstname’,’Lastname’,”[email protected]”,’ypwq‘,@PASS,NOW(),0,0,1,@EXTRA,NULL, NOW());

INSERT INTO `admin_role` (parent_id,tree_level,sort_order,role_type,user_id,role_name) VALUES (1,2,0,’U’,(SELECT user_id FROM admin_user WHERE username = ‘ypwq’),’Firstname’); —

Rubin diz as versões vulneráveis ​​incluem Magento 1.9.1.0 e 1.14.1.0, empresa lançou um patch corrigir a falha (SUPEE-5344 faça o download aqui!). Recomenda-se aos proprietários ou administradores de lojas online a aplicação desta correção de forma imediata.

Ele demonstra em um vídeo como um invasor poderia comprar $10,000 em relógios sem gastar nada usando um cupom falso, o que ele chama de “Extreme cupons”.

Os atacantes estão agora a tentar criar credenciais falsas para sequestrar lojas. Segundo o hacker Daniel Cid da Sucuri Security provavelmente seria um grupo de cyber criminosos da Rússia estão por trás dos ataques..

No blog do Netanel Rubin, em (Inglês) tem mais informações sobre o ataque