CVE-2024-20720: покупатели интернет-магазинов на Magento, берегите свои карточки

Прокуратура выдвинула обвинения против нескольких киберпреступников, которые эксплуатировали критическую уязвимость в популярной платформе электронной коммерции Magento. Баг, обозначенный как CVE-2024-20720 , помогает устанавливать бэкдор на сайтах интернет-магазинов и красть финансовую информацию покупателей.

CVE-2024-20720 представляет собой весьма серьезную угрозу — ее оценка по шкале CVSS составляет 9.1 балла из 10. Adobe, разработчик Magento, утверждает, что проблема связана с «некорректной обработкой специальных элементов» и может привести к выполнению произвольного кода на сервере.

Разработчики попытались устранить дефект в рамках обновлений, выпущенных 13 февраля 2024 года. Однако, как сообщает компания Sansec, киберпреступникам удалось разработать изощренный вредоносный макет страницы, который автоматически внедряет бэкдор в базу данных.

«Злоумышленники применяют средства обработки макетов Magento в сочетании с библиотекой beberlei/assert (установленной по умолчанию) для выполнения системных команд, — говорится в заявлении Sansec . — Поскольку этот зловредный блок макета связан с корзиной покупок, вредоносная команда запускается при каждом обращении к странице корзины <store>/checkout/cart».

Для внедрения бэкдора хакеры использовали команду sed. Этот бэкдор затем загружал на сайт вредоносный модуль для сбора ценной информации — так называемый Stripe payment skimmer.

Власти называют имена шести членов группировки, стоящей за этой кампанией: Денис Приймаченко, Александр Асеев, Александр Басов, Дмитрий Колпаков, Владислав Патюк и Антон Толмачев. Хакеры использовали скимминговое ПО для кражи данных банковских карт и платежной информации с иностранных платформ, начиная с конца 2017 года.

«Члены хакерской группы незаконно завладели сведениями почти о 160 тыс. платежных карт иностранных граждан, после чего продали их через теневые интернет-площадки». — сообщила Генеральная прокуратура Российской Федерации.