Các trang web thương mại điện tử sử dụng phần mềm Magento 2 của Adobe đang là mục tiêu của chiến dịch tấn công, bắt đầu ít nhất từ tháng 1/2023.
Các cuộc tấn công, được đặt tên là Xurum, khai thác lỗ hổng nghiêm trọng hiện đã được vá (CVE-2022-24086, điểm CVSS: 9,8) trong Adobe Commerce và Magento Open Source. Khai thác thành công lỗ hổng có thể dẫn đến thực thi mã tùy ý.
“Hacker có vẻ quan tâm đến số liệu thanh toán từ các đơn hàng trong cửa hàng sử dụng Magento trong 10 ngày qua”, các nhà nghiên cứu của Akamai cho biết trong phân tích công bố vào tuần trước, quy kết chiến dịch do hacker gốc Nga thực hiện.
Trong chuỗi tấn công, CVE-2022-24086 bị khai thác để truy cập ban đầu, sau đó thực thi mã PHP độc hại thu thập thông tin về máy chủ và thả web shell có tên wso-ng giả dạng Google Shopping Ads.
Backdoor web shell không chỉ chạy trong bộ nhớ, mà còn chỉ kích hoạt khi kẻ tấn công gửi cookie “magemojo000” trong yêu cầu HTTP, sau đó thông tin về các phương thức thanh toán đơn đặt hàng trong 10 ngày qua được truy cập và trích xuất.
Nguồn: The Hacker News