当前位置:安全资讯 >> 全文

开源电商系统Magento站点因运行Mirasvit Helpdesk扩展遭攻击

发布时间:2017-12-29 15:03 标签: Magento,开源,扩展
分享到 0

荷兰安全研究员Willem de Groot指出,黑客们正在积极地攻击运行一款热门桌面技术支持扩展Mirasvit HelpdeskMagento站点。

Mirasvit 能让站点在Magento商店中显示“跟我们聊聊”的小工具。

20179月,匈牙利安全公司WebShield公开了两个影响Mirasvit Helpdesk扩展的漏洞详情。专家警告称所有早于1.5.2版本的 Mirasvit Helpdesk扩展版本均受影响。第一个漏洞 (CVE-2017-14320) 能让攻击者向底层Magento服务器上传文件,而第二个漏洞 (CVE-2017-14321) 是一个普通的跨站点脚本问题。

聊天小工具通过卡窃取恶意软件感染商店

De Groot公布了对一家被黑Magento商店的调查结果,他表示黑客使用第二个缺陷实施攻击。攻击者通过Mirasvit Helpdesk小工具发送非恶意信息,随后在聊天窗口中输入包含XSS payload的恶意代码,而这条信息存储在Magento数据库中。

当技术支持人员在商店后台查看最近消息时,恶意消息展示为一条非恶意文本,“您好,我强烈建议您重新设计商店!如需要好的设计师请联系我——knockers@yahoo.com”。

恶意代码并不可见,但在现实中当店主查看这条信息时,payload已经开始执行了。De Groot表示,这个XSS payload将额外的恶意代码插入Magento商店的页脚部分。这个代码会在商店的所有页面上执行,它的作用就是从商店的付款流程中收集支付卡数据。

Mirasvit一个月前发布补丁

De Grootpayload的一个副本发布在GitHub上并且在博客中介绍了简单的指南供Magento所有人测试自己的站点是否已经由Mirasvit Helpdesk小工具遭攻陷。

Mirasvit公司负责任地在9月份发布了版本1.5.3,修复了上述提到的两个漏洞问题。Mirasvit并未就此事置评不过在博客上发表文章警告消费者注意相关利用尝试并提醒消费者更新扩展。

De Groot在今年夏天开始要求在线商店倒闭或濒临倒闭的所有人捐赠域名协助设置蜜罐,以便追踪信用卡窃取恶意软件和针对电子商务的网络攻击类型。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/magento-sites-hacked-via-helpdesk-widget/
参与讨论,请先 登录 | 注册

用户评论