Co zrobić w przypadku najnowszej podatności: skradzione dane karty kredytowej?

11

Po tym, jak kilka dni temu pojawiły się wiadomości, niewiele słyszałem - i nie było oficjalnego oświadczenia - o najnowszej luce. Sucuri mówi , że można otrzymać informacje o karcie kredytowej, a nawet wszystkie $_POSTdane, w tym hasła administratora i tym podobne.

Nie miałem jeszcze przypadku, w którym włamano się do klienta, ale nie chcę czekać, aż to się stanie, aby podjąć działania. Czy ktoś już widział łatkę?

simonthesorcerer
źródło
Biorąc pod uwagę najnowszy artykuł Sucuri, możesz również zainteresować się odpowiedziami @Ben Lessani (Sonassi) tutaj: magento.stackexchange.com/a/72697/231
Anna Völkl

Odpowiedzi:

8

Jakiego rodzaju łatki lub oficjalnego oświadczenia oczekujesz? Wpis na blogu mówi tylko, że aplikacja internetowa może zostać przejęta, gdy atakujący uzyska dostęp do kodu. Dotyczy to każdej aplikacji internetowej. Termin Magento jest tam całkowicie wymienny. Obecnie nie mają pojęcia, w jaki sposób zainfekowany host został naruszony. Otwarte drzwi w podanych przykładach mogą być wszystkim, od problemów z serwerem po „warstwę 8”.

Tak długo, jak pozostają niejasne i nie dostarczają cennych informacji, wszystko to w zasadzie marketingowe, takie jak rozpowszechnianie nazwy firmy, falowanie, pozycjonowanie się jako eksperci ds. Bezpieczeństwa itp. Łączenie modnych słów, takich jak „ukraść” „karta kredytowa” ” Magento ”oczywiście stanowi dobrą historię.

Czego jeszcze możemy się nauczyć z tego postu:

  • Regularnie obserwuj bazę kodów pod kątem nieoczekiwanych zmian.
  • Pozostaw obsługę danych płatności PSP.

Aktualizacja: Istnieje teraz oficjalne oświadczenie Bena Marksa .

mam08ixo
źródło
Tak, wiem, że źródło jest dość nieokreślone. Nie wiem też, czy skontaktowali się z Magento / eBay w tej sprawie. W każdym razie nadal jest możliwe (i zdarzyło się to dwa razy w ciągu ostatnich miesięcy), że jest to podstawowy błąd, i spodziewałbym się co najmniej takiego stwierdzenia, jak „badamy” lub „nie nasza wina, jakiś moduł”.
simonthesorcerer
Zgadzam się, że podstawową przyczyną może być również jedno z tysięcy rozszerzeń lub dowolna (niepakowana) wersja Magento. Nadal za mało informacji, aby podjąć ukierunkowane działania, imho.
mam08ixo
3

Dopóki twoja wersja Magento jest aktualna, zainstalowałeś wszystkie najnowsze łaty, a twój serwer spełnia najlepsze praktyki w zakresie konfiguracji (uprawnienia do plików, nie działa żadne inne oprogramowanie / strona internetowa, zapora ogniowa itp.) To wszystko, co możesz teraz zrobić .

Myślę, że należy wspomnieć, że nie ma jeszcze określonego wektora ataku:

Jak działa atak? Nadal badamy wektory ataku. Wygląda jednak na to, że atakujący wykorzystuje lukę w rdzeniu Magento lub jakimś szeroko stosowanym module / rozszerzeniu.

Edytować:

Jak wspomniano w moim komentarzu powyżej, możesz także sprawdzić szczegółową odpowiedź Bena Lessaniego na inne powiązane pytanie, które zawiera pewne podstawowe informacje: /magento//a/72697/231

Anna Völkl
źródło
2

Nie (tylko) Magento

Widziałem wiele innych stron włamywanych w ten sposób, wstawiających złośliwy kod do bazy kodu, i to nie tylko w Magento. Istnieje wiele wariantów: skrypty kradnące dane POST, skrypty dodające XSS, skrypty próbujące ukraść hasła root, skrypty zezwalające na połączenia przychodzące w celu przetwarzania danych (w przypadku wydobywania Bitcoin, wysyłania spamu z tego serwera) itp.

W niektórych przypadkach przyczyną było skradzione dane uwierzytelniające FTP (wirusy / złośliwe oprogramowanie) z komputera klienckiego, w innych przypadkach wykorzystano exploita w aplikacji.

Istnieje wiele innych aplikacji, które mogą zapewnić dostęp do serwera za pośrednictwem exploitów, na przykład WordPress.

Jest tylko jeden przypadek, w którym Magento byłby winny, i należałoby się spodziewać działania ze strony Magento, a mianowicie: gdyby wykorzystywana aplikacja miała być Magento w najnowszej wersji i w pełni załatana.

Jest więc tylko niewielka szansa, że ​​ten jeden z wyróżnionych przypadków został spowodowany przez awarię Magento. Dlatego nic nie słyszysz od Magento.

Nowością jest to, że wstawiony kod jest bardzo konkretnie ukierunkowany na Magento i wykorzystuje architekturę i zasady kodu Magento.

Co robić

Teraz, aby udzielić odpowiedzi na pytanie „Co z tym zrobić?”

  • Nigdy nie uruchamiaj dwóch różnych aplikacji na tej samej instancji serwera, takich
    jak WordPress + Magento. Czasami widzisz WordPress działający jak na www.magentoshop.com/blog/ lub Magento działający na www.wordpresswebsite.com/shop/. Nie rób tego Exploity w WordPress mogą dać atakującemu dostęp do twoich danych Magento.

  • Użyj systemu kontroli wersji
    Korzystam z GIT, a także mam to na serwerze (dostęp tylko do odczytu), aby wdrożyć witrynę. Daje mi to także szybki wgląd w zmiany w systemie po uruchomieniu git status.

  • Nigdy nie używaj FTP, tylko SFTP, nigdy nie przechowuj haseł
    Wspomniałem powyżej, że hasła FTP zostały skradzione z komputera klienckiego. Również korzystanie z FTP nie jest bezpieczne, ponieważ wysyła dane niezaszyfrowane przez Internet. Używaj SFTP i nigdy nie przechowuj haseł w aplikacji FTP, po prostu nie bądź leniwy i wpisuj je za każdym razem, gdy łączysz się z serwerem.

7ochem
źródło