Apa yang harus dilakukan terhadap kerentanan terbaru: data kartu kredit curian?


11

Setelah berita itu keluar beberapa hari yang lalu, saya belum mendengar banyak - dan tidak ada pernyataan resmi - tentang kerentanan terbaru. Sucuri mengatakan bahwa dimungkinkan untuk menerima informasi kartu kredit, atau bahkan semua $_POSTdata termasuk admin-kata sandi dan sejenisnya.

Saya belum memiliki kasus di mana klien diretas, tetapi tidak ingin menunggu sampai ini terjadi untuk mengambil tindakan. Adakah yang pernah melihat tambalan?


Mengingat artikel Sucuri terbaru, Anda mungkin juga tertarik dengan jawaban @Ben Lessani (Sonassi) di sini: magento.stackexchange.com/a/72697/231
Anna Völkl

Jawaban:


8

Tambalan atau pernyataan resmi seperti apa yang Anda harapkan? Posting blog hanya mengatakan bahwa aplikasi web dapat dikompromikan begitu penyerang memiliki akses ke kode. Itu berlaku untuk setiap aplikasi web. Istilah Magento benar-benar dapat dipertukarkan di sana. Saat ini, mereka tidak memiliki petunjuk bagaimana tuan rumah yang terkena dampak dikompromikan. Pintu terbuka dalam contoh yang diberikan bisa menjadi segalanya, mulai dari masalah server hingga "lapisan 8".

Selama mereka tetap samar-samar dan tidak muncul dengan informasi yang berharga, itu semua cukup pemasaran seperti menyebarkan nama perusahaan mereka, membuat gelombang, memposisikan diri sebagai ahli keamanan, dll. Menggabungkan kata kunci seperti "mencuri" "kartu kredit" " Magento "jelas membuat cerita yang bagus.

Apa yang masih bisa kita pelajari dari pos ini:

  • Secara teratur perhatikan basis kode Anda untuk perubahan yang tidak terduga.
  • Serahkan penanganan data pembayaran ke PSP.

Pembaruan: Ada pernyataan resmi oleh Ben Marks sekarang.


Ya, saya tahu bahwa sumbernya tidak spesifik. Saya juga tidak tahu apakah mereka telah menghubungi Magento / eBay karena masalah ini. Bagaimanapun, masih mungkin (dan telah terjadi dua kali dalam beberapa bulan terakhir) bahwa itu adalah bug inti, dan saya akan mengharapkan setidaknya pernyataan seperti "kami sedang menyelidiki" atau "bukan kesalahan kami, beberapa modul".
simonthesorcerer

Saya setuju bahwa penyebab dasar mungkin juga salah satu dari ribuan ekstensi di luar sana atau versi Magento (yang belum ditambal). Masih terlalu sedikit informasi untuk mengambil tindakan yang ditargetkan.
mam08ixo

3

Selama versi Magento Anda mutakhir, Anda telah menginstal semua tambalan terbaru dan server Anda memenuhi praktik terbaik terkait pengaturan (izin file, bukan perangkat lunak / situs web lain yang berjalan, firewall, dll.) Ini yang dapat Anda lakukan untuk saat ini .

Saya pikir penting untuk menyebutkan bahwa belum ada vektor serangan spesifik:

Jadi bagaimana cara kerja serangan? Kami masih menyelidiki vektor serangan. Tampaknya penyerang mengeksploitasi kelemahan pada inti Magento atau modul / ekstensi yang banyak digunakan.

Edit:

Seperti disebutkan dalam komentar saya di atas, Anda juga dapat memeriksa jawaban terperinci Ben Lessani untuk pertanyaan terkait lainnya yang memberikan beberapa informasi latar belakang: /magento//a/72697/231


2

Bukan (hanya) Magento

Saya telah melihat banyak situs web lain meretas cara ini, memasukkan kode berbahaya ke dalam basis kode, dan tidak hanya di Magento. Dan ada banyak varian: skrip mencuri data POST, skrip menambahkan XSS, skrip yang mencoba mencuri kata sandi root, skrip yang memungkinkan panggilan masuk untuk memproses data (untuk penambangan Bitcoin, mengirim email spam dari server itu), dll ...

Dalam beberapa kasus penyebabnya dicuri kredensial FTP (oleh virus / malware) dari komputer klien dalam kasus lain ia menggunakan exploit dalam aplikasi.

Ada banyak aplikasi lain yang dapat memberikan akses ke server melalui eksploitasi, misalnya WordPress.

Hanya ada satu kasus di mana Magento akan disalahkan dan tindakan dari Magento diharapkan dan itu adalah: jika aplikasi yang dieksploitasi adalah Magento dari versi terbaru dan sepenuhnya ditambal.

Jadi hanya ada sedikit kemungkinan kasus yang disorot ini disebabkan oleh kesalahan di Magento sejak awal. Itu sebabnya Anda tidak mendengar apa pun dari Magento.

Hal baru di sini adalah bahwa kode yang dimasukkan secara khusus menargetkan Magento dan menggunakan arsitektur dan prinsip-prinsip kode Magento.

Apa yang harus dilakukan

Sekarang, berikan jawaban untuk pertanyaan Anda, "Apa yang harus dilakukan terhadapnya?"

  • Jangan pernah menjalankan dua aplikasi berbeda pada instance server yang sama
    Seperti WordPress + Magento. Terkadang Anda melihat WordPress berjalan seperti di www.magentoshop.com/blog/ atau Magento berjalan di www.wordpresswebsite.com/shop/. Jangan lakukan itu. Eksploitasi di WordPress dapat memberikan akses penyerang ke data Magento Anda.

  • Gunakan Sistem Kontrol Versi
    Saya menggunakan GIT dan juga memiliki ini di server (akses baca saja) untuk menyebarkan situs web. Ini juga memberi saya wawasan cepat tentang perubahan pada sistem dengan menjalankan git status.

  • Jangan pernah gunakan FTP, hanya SFTP, jangan pernah menyimpan kata sandi yang
    saya sebutkan di atas bahwa kata sandi FTP dicuri dari komputer klien. Juga menggunakan FTP tidak aman karena akan mengirim data yang tidak dienkripsi melalui internet. Jadi gunakan SFTP dan jangan pernah menyimpan kata sandi Anda di aplikasi FTP Anda, jangan malas dan ketik setiap kali ketika Anda terhubung ke server Anda.


Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.