Kẻ tấn công đã phát hiện và khai thác một lỗ hổng nghiêm trọng trong Magento xâm nhập vào các trang web thương mại điện tử.
Cuộc tấn công sử dụng lỗ hổng CVE-2024-20720 (điểm CVSS: 9.1), được Adobe mô tả là trường hợp “improper neutralization of special elements” mở đường cho việc thực thi mã tùy ý.
Công ty đã giải quyết vấn đề này như một phần của các bản cập nhật bảo mật phát hành vào ngày 13 tháng 2 năm 2024.
Sansec cho biết họ đã phát hiện ra một “mẫu bố cục được chế tạo một cách thông minh trong cơ sở dữ liệu” đang được sử dụng để tự động tiêm mã độc hại để thực thi các lệnh tùy ý.
Công ty chia sẻ rằng: “Các kẻ tấn công kết hợp trình phân tích bố cục Magento với gói beberlei/assert (được cài đặt theo mặc định) để thực thi các lệnh hệ thống.Vì khối bố cục liên quan đến giỏ hàng thanh toán, lệnh này được thực thi mỗi khi được yêu cầu tại <store>/checkout/cart.”
Lệnh đang được đề cập là sed, được sử dụng để chèn một cửa sau thực thi mã vào, sau đó chịu trách nhiệm giao một trình thu thập thanh toán Stripe để bắt và trộn thông tin tài chính đến một cửa hàng Magento bị xâm nhập khác.
