Sicurezza Magento: Numerosi attacchi agli Ecommerce

attacco-sicurezza

Lo scorso fine settimana c’è stato un attacco di hacker che ha colpito circa 2000 negozi Magento 1. Un notizia davvero incredibile se pensiamo a quanti sono ancora gli Ecommerce realizzati con questa versione della piattaforma.

Cosa è successo esattamente?

Lo scorso fine settimana circa 2000 negozi Magento 1 sono stati hackerati ed è probabile che il numero di attacchi sia in realtà anche molto più alto.

In sostanza sono stati presi di mira gli store Magento all’interno dei quali gli hacker hanno installato un JavaScript in grado di prendere i dati sensibili dei clienti, tra cui i dati relativa alle carte di credito.

L’attacco è stato rilevato da Sansec, che poi ha pubblicato anche un report nel quale veniva indicato che la maggior parte dei siti Magento colpiti erano relativa alla versione 1 del CMS.

L’ipotesi sull’attacco

Sembrerebbe che gli hacker abbiamo sfruttato una vulnerabilità zero-day di Magento per attuare questo attacco. Inoltre si pensa che questi pirati informatici si muovano attraverso due server per dialogare con il pannello di admin di Magento, attraverso il Magento Connect. Da questa “porta”, gli hacker sono riusciti ad entrare a iniettare nello store, il codice JavaScript che caricava il malware. Puoi trovare maggiori informazioni sul malware su Wikipedia: https://en.wikipedia.org/wiki/Malware.

Magento Connect

Il market di Magento era precedentemente noto come “Magento Connect”. Nello stesso negozio c’è una pagina in cui puoi installare estensioni nel negozio. Puoi trovare quest’area in cui aggiungi / downloader all’URL del tuo negozio, ad es. https://my-mage-one-shop.com/downloader/

Come faccio a sapere che il mio negozio è stato attaccato?

Per prima cosa hai la possibilità di verificare se c’è stato un attacco cercando nei file di log del server l’accesso alla directory di download.

Probabilmente assomigliano a questo:

/downloader/index.php?A=connectInstallPackageUpload&maintenance=1&archive_type=0&backup_name=

Quanto è probabile che ne sia influenzato?

Se hai bloccato l’accesso alla directory del downloader nel tuo negozio o questa directory non esiste affatto nel tuo negozio, sei al sicuro.

sansec.io ha anche pubblicato l’elenco dei TLD, che sono attualmente interessati e violati: 872 .com; 115 .uk; 91 .nl;  77 .de; 69 .br ; 61 .it; 42 .au; 38 .net; 34 .ro; 34 .pl

Come faccio a sapere che il mio negozio è stato violato?

Quando sei nella pagina di pagamento, apri il codice sorgente della tua pagina e cerca il seguente termine: 

attacco-magento-codice

Per quanto ne sappiamo, il codice JavaScript inserito ha un aspetto simile a questo:

Cosa devo fare se trovo il codice Malware?

Contatta la tua agenzia o sviluppatore e chiedi loro di trovare e rimuovere immediatamente questo codice. Dovresti anche cercare file che non fanno parte dell’installazione di Magento. In molti dei negozi compromessi è stato trovato un file mysql.php nella directory principale. Assicurati di informare i clienti che hanno effettuato ordini dal fine settimana che i loro dati sono a rischio.

Cosa fa questo codice?

Possiamo presumete che il codice malware introdotto nella cassa del tuo negozio stia tentando di intercettare i dati della carta di credito o altri dati di accesso.

Cosa posso fare per proteggere il mio negozio?

Hai due possibilità per proteggere il tuo negozio.

1. Proteggi la directory tramite il file .htacess

Apri il file .htaccess che si trova nella cartella principale della tua installazione di Magento (dove si trovano cron.sh e cron.php) e aggiungi la seguente riga all’inizio RedirectMatch 404 ^ / downloader /.*$

2. Eliminare la directory del downloader

Rimuovere la directory completa “downloader”, che si trova nella directory principale. Puoi eliminarlo senza esitazione. Poiché il Marketplace per Magento 1 è stato disattivato, il downloader non può più essere utilizzato per questo scopo. In alternativa puoi rinominare la directory, ma una rimozione completa è molto più sicura.

Come faccio a mantenere il mio Magento 1 sicuro?

Dopo la fine del supporto per Magento 1, purtroppo gli store Magento realizzati con questa versione possono incedere in attacchi come quello evidenziato in questo articolo. Se vuoi avere quindi uno store sempre protetto, puoi provare il nuovo servizio MageShield, lo scudo protettivo per Magento 1.

Cos’è MageShield per Magento 1?

MageShield è il nuovo servizio che consente alle aziende come la tua, di mantenere il proprio sito su Magento 1 anche dopo EOL. Grazie a MageShield avrai aggiornamenti di sicurezza e tecnologia per un lungo periodo di tempo.

MageShield può offrirti la flessibilità di cui hai bisogno fino a quando non sarai pronti ad lasciare Magento 1.

Una migrazione da Magento 1 a Magento 2 può comportare costi molto elevati, poiché si traduce nella realizzazione di un sito ex-novo. Considerando l’impatto di questi costi, è facile capire perché molti hanno esitato a fare questo passaggio.

MageShield offre un modo conveniente per i merchants di rimanere su Magento 1, mentre si valutano le opzioni.

Il costo di protezione partirà da 49€/mese.

Conclusioni

Questo episodio è davvero molto grave, perché questa vulnerabilità consente il pieno attacco a siti realizzati in Magento 1. Gli Ecommerce che possiedono questo tipo di versione del CMS si aggirerebbero introno ai 95.000. Quindi si capisce quanto questo fatto possa incidere sulla qualità, sulla sicurezza e sull’affidabilità di un Ecommerce.

Ti è piaciuto questo articolo? Votalo!

Carrello
Torna in alto