Cosa fare contro l'ultima vulnerabilità: i dati della carta di credito rubati?

11

Dopo che la notizia è arrivata qualche giorno fa, non ho sentito molto - e nessuna dichiarazione ufficiale - sulla più recente vulnerabilità. Sucuri afferma che è possibile ricevere informazioni sulla carta di credito, o anche tutti i $_POSTdati, comprese le password di amministrazione e simili.

Non ho ancora avuto un caso in cui un client è stato violato, ma non voglio aspettare che questo accada per agire. Qualcuno ha già visto una patch?

security  magento-ce 
simonthesorcerer
fonte
Visto l'ultimo articolo di Sucuri, potresti anche essere interessato alle risposte di @Ben Lessani (Sonassi) qui: magento.stackexchange.com/a/72697/231
Anna Völkl

Risposte:

8

Che tipo di patch o dichiarazione ufficiale ti aspetti? Il post sul blog afferma che un'applicazione Web può essere compromessa solo quando l'attaccante ha accesso al codice. Questo vale per ogni applicazione web. Il termine Magento è completamente intercambiabile lì. Attualmente, non hanno idea di come sia stato compromesso l'host interessato. La porta aperta negli esempi forniti potrebbe essere qualsiasi cosa, dai problemi del server al "livello 8".

Fintanto che rimangono vaghi e non forniscono informazioni preziose, è praticamente tutto marketing come diffondere il nome della loro azienda, fare ondate, posizionarsi come esperti di sicurezza, ecc. Combinare parole d'ordine come "rubare" "carta di credito" " Magento "rende ovviamente una bella storia.

Cosa possiamo ancora imparare da questo post:

  • Controlla regolarmente il tuo codebase per modifiche impreviste.
  • Lascia la gestione dei dati di pagamento a una PSP.

Aggiornamento: ora c'è una dichiarazione ufficiale di Ben Marks .

mam08ixo
fonte
Sì, so che la fonte è piuttosto non specifica. Inoltre non so se hanno contattato Magento / eBay per questo problema. Ad ogni modo, è ancora possibile (ed è successo due volte negli ultimi mesi) che si tratta di un bug di base, e mi sarei aspettato almeno un'affermazione come "stiamo investigando" o "non è colpa nostra, qualche modulo".
simonthesorcerer
Sono d'accordo che la causa di base potrebbe anche essere una delle migliaia di estensioni disponibili o qualsiasi versione di Magento (senza patch). Ancora poche informazioni per intraprendere azioni mirate.
mam08ixo,
3

Fintanto che la tua versione di Magento è aggiornata, hai installato tutte le patch più recenti e il tuo server soddisfa le migliori pratiche relative all'installazione (autorizzazioni per i file, non un altro software / sito Web in esecuzione, firewall, ecc.) Per ora tutto ciò che puoi fare .

Penso che sia importante menzionare che non esiste ancora un vettore di attacco specifico:

Quindi, come funziona l'attacco? Stiamo ancora indagando sui vettori di attacco. Sembra però che l'attaccante stia sfruttando una vulnerabilità nel core di Magento o in alcuni moduli / estensioni ampiamente utilizzati.

Modificare:

Come menzionato nel mio commento sopra, puoi anche consultare la risposta dettagliata di Ben Lessani a un'altra domanda correlata che fornisce alcune informazioni di base: /magento//a/72697/231

Anna Völkl
fonte
2

Non (solo) Magento

Ho visto molti altri siti Web hackerati in questo modo, inserendo codice dannoso nella base di codici e non solo in Magento. E ci sono molte varianti: script che rubano dati POST, script che aggiungono XSS, script che tentano di rubare password di root, script che consentono alle chiamate in arrivo di elaborare dati (per il mining di Bitcoin, per inviare e-mail di spam da quel server), ecc ...

In alcuni casi la causa è stata rubata le credenziali FTP (da virus / malware) da un computer client, in altri casi ha utilizzato un exploit nell'applicazione.

Esistono molte altre applicazioni in grado di fornire accesso al server tramite exploit, ad esempio WordPress.

C'è solo un caso in cui Magento sarebbe da incolpare e ci si aspetta un'azione da Magento e cioè: se l'applicazione sfruttata dovesse essere Magento dell'ultima versione e completamente patchata.

Quindi c'è solo una piccola possibilità che questo caso evidenziato sia stato causato da un errore in Magento in primo luogo. Ecco perché non senti nulla da Magento.

La novità qui è che il codice inserito si rivolge in modo molto specifico a Magento e utilizza l'architettura e i principi del codice di Magento.

Cosa fare

Ora per dare una risposta alla tua domanda "Cosa fare contro di essa?"

  • Non eseguire mai due applicazioni diverse sulla stessa istanza del server
    come WordPress + Magento. A volte vedi WordPress in esecuzione come in www.magentoshop.com/blog/ o Magento in esecuzione su www.wordpresswebsite.com/shop/. Non farlo. Gli exploit in WordPress possono dare all'attaccante l'accesso ai tuoi dati Magento.

  • Usa un sistema di controllo versione
    Sto usando GIT e ho anche questo sul server (accesso in sola lettura) per distribuire il sito Web. Questo mi dà anche una rapida visione delle modifiche al sistema eseguendo git status.

  • Non usare mai FTP, solo SFTP, non archiviare mai le password che
    ho menzionato sopra che le password FTP sono state rubate da un computer client. Anche l'utilizzo dell'FTP non è sicuro in quanto invierà dati non crittografati tramite Internet. Quindi usa SFTP e non memorizzare mai le tue password nell'applicazione FTP, non essere pigro e digitarle ogni volta che ti connetti al tuo server.

7ochem
fonte
7ochem
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.