Tin tặc khai thác lỗ hổng nhằm đánh cắp dữ liệu thanh toán từ các trang web thương mại điện tử

0
0

 - Các tác nhân đe dọa đang khai thác một lỗ hổng nghiêm trọng trong Magento để cài cắm backdoor vào các trang web thương mại điện tử.

Cuộc tấn công lạm dụng CVE-2024-20720 (điểm CVSS: 9.1), được Adobe mô tả là một trường hợp "improper neutralization of special elements" (xử lý không đúng cách dữ liệu do người dùng gửi lên), có thể dẫn đến việc thực thi mã tùy ý. Vấn đề này đã được công ty giải quyết trong bản cập nhật bảo mật phát hành vào ngày 13/2/2024.

Sansec cho biết, họ đã phát hiện ra một "mẫu layout độc hại trong cơ sở dữ liệu" đang được sử dụng để tự động chèn các đoạn mã độc hại dẫn đến việc thực thi các lệnh tùy ý. “Những kẻ tấn công lợi dụng công cụ phân tích cú pháp layout của Magento cùng với thư viện beberlei/assert (được cài đặt theo mặc định) để thực thi các lệnh hệ thống”, đại diện công ty cho biết. "Bởi vì khối layout được sử dụng cho tính năng giỏ hàng thanh toán (checkout cart), lệnh sẽ được thực thi bất cứ khi nào chức năng /checkout/cart được yêu cầu".

 

Lệnh được đề cập là sed, sử dụng để chèn một backdoor được thiết kế để tải và cài đặt một công cụ Stripe payment skimmer dùng để thu thập các thông tin tài chính và chuyển thông tin thu được đến một ứng dụng Magento bị xâm nhập khác.

Để giảm thiểu nguy cơ bị tấn công, các quản trị viên nên cập nhật ngay lên phiên bản Magento mới nhất cũng như thường xuyên kiểm tra và cập nhật các thư viện đang sử dụng, đồng thời thực hiện rà quét trên toàn bộ ứng dụng, hệ thống để tìm kiếm các dấu hiệu bị xâm phạm và đưa ra biện pháp xử lý thích hợp trước khi thiệt hại nghiêm trọng xảy ra.

Phát hiện này được đưa ra cùng khi chính phủ Nga buộc tội sáu đối tượng sử dụng phần mềm đánh cắp thông tin để thu thập thông tin thẻ tín dụng và thông tin thanh toán từ các cửa hàng thương mại điện tử nước ngoài ít nhất từ cuối năm 2017.

PV (theo thehackernews.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.