eBay’in Magento e-ticaret platformunu kullanan binlerce site geçtiğimiz hafta her yere malware saçtı.
Uzmanlara göre saldırganlar Magento platformundaki açıktan faydalanarak Magento altyapısını kullanan sitelere sızdı ve zararlı scriptler yardımıyla çeşitli iframe’ler yarattı. Google Safe Browsing’e gore 8000’den fazla domain’in etkilendiği bu saldırıda, bu iframe’ler yardımıyla istenen domain’e yönlendirme yapılmasıyla kullanıcıların bilgisayarlarına sızılmış oldu.
Yönlendirilen sayfada Flash Player açığından faydalanılarak Andromeda/Gamarue malware’i kullanıldı ve bu şekilde finansal bilgiler bilgisayarlardan çalınmış oldu.
Magento altyapısına sahip sayfa sahipleri “core_config_data” tablosu içerisindeki design/footer/absolute_footer girişini kontrol ederek etkilenip etkinlenmediklerini anlayabiliyorlar. Ancak inject edilen script bazen farklı davranabiliyor, bu sebeple tüm yöneticilere veritabanlarında “guruincsite” ve “function LCWEHH(XHFER1){XHFER1=XHFER1” gibi kelimeleri aratmaları tavsiye ediliyor.
Magento sayfalarındaki açığın Magmi içerisindeki “zero-day directory traversal flaw”dan kaynaklandığı paylaşıldı.
Ancak işin üzücü kısmı ise Magento’nun bu gibi açıklarla ilk defa karşılaşmıyor olması. Geçtiğimiz Nisan ayında paylaşılan bir açığın 24 saat içerisinde saldırılarda kullanıldığı ortaya çıkmış, yine bir çok site sahibi bundan etkilenmişti.