ataque de MageCart en Newegg

Question

ataque de MageCart en Newegg

#1 de Aaron Cicali (3 votos)

1

Estoy leyendo acerca de un ataque ocurrido en agosto de este año realizado por el grupo MageCart mediante el uso de "raspado de tarjetas" para robar información de tarjetas de crédito de los usuarios de Newegg. Al leer sobre el uso de las fuentes enumeradas a continuación, parece que los piratas informáticos de MageCart pudieron insertar el código malicioso de javascript insertado durante el paso de Checkout. Una implementación de la función window.onload () tomaría la información de la tarjeta de crédito y la enviaría a un servidor asociado con el grupo:

"Volexity pudo verificar la presencia de código JavaScript malintencionado limitado a una página en secure.newegg.com presentada durante el proceso de pago en Newegg. El código malicioso apareció específicamente una vez al pasar a la página de Información de facturación durante el proceso de pago. Esta página, ubicada en la URL enlace URL enlace , recopilaría datos del formulario, devolviéndolos a los atacantes mediante SSL / TLS a través del dominio neweggstats.com" (fuente: enlace ).

Pero mi pregunta es, ¿cómo hicieron para poner el código malicioso allí en primer lugar?

De otra fuente: "Volexity cree que el sitio web de Newegg puede haber estado comprometido y haber facilitado activamente el robo financiero durante más de un mes. Una fecha clave en los ataques de Magecart contra Newegg proviene de los datos de registro del dominio neweggstats.com. el dominio se registró el 13 de agosto de 2018 aproximadamente a las 16:36 UTC a través de Namecheap. Esto indica que los atacantes probablemente ya habían comprometido el sitio web de Newegg y se estaban preparando para lanzar ataques. La información de WHOIS del dominio muestra que se registró con protección de privacidad "Fuente: ( enlace

¿Qué significa "comprometer el sitio web de Newegg"? ¿Significa esto que tuvieron acceso a los archivos php en el servidor que almacenaron el código Newegg y que agregaron manualmente su fragmento de código javascript?

xss

pregunta IntegrateThis 27.09.2018 - 00:09

fuente

1 respuesta

Lea otras preguntas en las etiquetas xss

Cómo proteger la redirección de una página de inicio de sesión ¿Cómo prevenir las Cookie-Bombs?

score 3 · Accepted Answer

Dudo que lleguemos a conocer los detalles exactos de cómo que pudieron poner el JavaScript malicioso en newegg.com. Para que eso suceda, es posible que newegg.com deba proporcionar al público información no divulgada sobre su infraestructura privada.

Hablando en términos generales, la respuesta es que ... algo era inseguro en su servidor o en su software. Hay posibilidades prácticamente ilimitadas de cómo esto puede haber sucedido.

El siguiente detalle es interesante:

Una fecha clave en los ataques de Magecart contra Newegg provienen de Datos de registro del dominio neweggstats.com

Esto implica que el equipo forense de Volexity no pudo determinar cuándo comenzó el ataque utilizando datos encontrados en el servidor de newegg.com. Por ejemplo, los archivos que han sido tocados pueden tener sus marcas de tiempo revertidas a sus fechas pre-modificadas. Su estimación de cuándo comenzó el compromiso se basa en la fecha de registro del dominio ... pero tal vez el atacante haya estado usando un dominio menos convincente durante mucho tiempo antes de decidir cambiar a neweggstats.com.

Algunas posibilidades comunes están debajo.

Inyección SQL

Un atacante puede descubrir lo suficiente sobre el esquema de su base de datos para saber que el contenido de una tabla / columna dada se inserta en cada página sin desinfección. El atacante puede entonces descubrir un punto de inyección de SQL y poder INSERTAR una etiqueta de script en la tabla / columna dada. El software incluiría felizmente el JavaScript malintencionado del atacante en la página.

Phishing para credenciales de administrador

La parte administrativa del sitio web puede permitir abiertamente que las etiquetas de script se incluyan de alguna manera en el diseño del sitio. Esto podría incluir la edición de plantillas generales (la capacidad de realizar cambios en el HTML del sitio web mediante un editor) o podría ser algo así como una herramienta de administración que le permite cargar imágenes de pago para las páginas de pago (técnicamente, esto es lo mismo que el primer ejemplo) ).

El software podría incluso permitir que un administrador simplemente cargue un archivo JavaScript que se incluiría automáticamente en el sitio web.

Haciéndose pasar por un tercero

Cualquier JavaScript de terceros que incluyas en tu sitio web tiene la capacidad de ser malicioso. Uno podría simplemente anunciar un servicio de análisis de comercio electrónico avanzado para incluir su código malicioso en su sitio. Entonces el propietario del sitio hará el trabajo duro por ti.

Subidas de imagen no seguras

Las imágenes pueden contener código ejecutable. Algunos sitios permiten a los usuarios subir fotos con sus reseñas de productos. Si newegg.com lo permitiera, pero no desinfectaba las imágenes, un atacante podría obtener su código ejecutable en el servidor fácilmente. Una vez en el servidor, el atacante deberá hacer que el servidor "ejecute" la imagen como código. Esto se puede hacer si su servidor está mal configurado o si su software tiene un agujero de seguridad que permitiría incluir la imagen como código. El ejecutable malintencionado se ejecutaría con los mismos permisos que el servidor web (o peor). En ese momento, el software podría agregar código a un archivo JavaScript ya incluido en el servidor.

Resumen

Escribir software y hacerlo seguro son tareas muy diferentes. A veces, una empresa pone énfasis en agregar características porque las personas que dirigen la empresa están principalmente interesadas en sus ganancias. La idea de que debería invertirse mano de obra para asegurar su software nunca se les pasa por la cabeza hasta que después de se haya producido una violación.

A menudo, los empleados que podrían ser responsables de proteger su software carecen de experiencia, reciben un salario insuficiente, trabajan demasiado o heredan sistemas inseguros de empleados anteriores. Cuando nadie tiene la tarea de proteger su servidor / software, las vulnerabilidades encuentran su camino hacia adentro.

El (los) método (s) que un atacante puede usar para comprometer un sitio suele ser multifacético y puede que no se entienda completamente incluso después de que se descubre el compromiso. La contratación de una empresa forense puede ser útil, pero sus capacidades pueden verse limitadas debido a la configuración del servidor (por ejemplo, los registros solo pueden almacenarse durante un corto período de tiempo).