Setidaknya tujuh kelompok peretas berada di balik lonjakan besar dalam serangan ‘TrojanOrders’ yang menargetkan situs web Magento 2, mengeksploitasi kerentanan yang memungkinkan pelaku ancaman untuk mengkompromikan server yang rentan.
Perusahaan keamanan situs web Sansec memperingatkan bahwa hampir 40% situs web Magento 2 menjadi sasaran serangan, dengan kelompok peretas saling bertarung untuk menguasai situs yang terinfeksi.
Serangan ini digunakan untuk menyuntikkan kode JavaScript berbahaya ke situs web toko online yang dapat menyebabkan gangguan bisnis yang signifikan dan pencurian kartu kredit pelanggan besar-besaran selama periode Black Friday dan Cyber Monday yang sibuk.
Tren ini diperkirakan akan terus berlanjut menjelang Natal ketika toko online berada pada waktu yang paling kritis dan sekaligus paling rentan.
Sumber: Sansec
Serangan TrojanOrders
TrojanOrders adalah nama serangan yang mengeksploitasi kerentanan kritis Magento 2 CVE-2022-24086, memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode dan menyuntikkan RAT (trojan akses jarak jauh) di situs web yang belum ditambal.
Adobe memperbaiki CVE-2022-24086 pada Februari 2022, tetapi Sansec mengatakan banyak situs Magento masih perlu ditambal.
“Sansec memperkirakan setidaknya sepertiga dari semua toko Magento dan Adobe Commerce belum ditambal sejauh ini,” jelas a laporan baru oleh perusahaan keamanan siber eCommerce SanSec.
Kapan melakukan serangan TrojanOrdersperetas biasanya membuat akun di situs web target dan memesan yang berisi kode template berbahaya di bidang nama, PPN, atau lainnya.
Sumber: Sansec
Misalnya, serangan di atas akan menyuntikkan salinan file ‘health_check.php’ ke situs, berisi backdoor PHP yang dapat menjalankan perintah yang dikirimkan melalui permintaan POST.
Setelah mendapatkan pijakan di situs web, penyerang memasang trojan akses jarak jauh untuk membuat akses permanen dan kemampuan untuk melakukan tindakan yang lebih rumit.
Dalam banyak kasus yang diamati oleh Sansec, penyerang memindai keberadaan ‘health_check.php’ setelah disusupi untuk menentukan apakah peretas lain telah menginfeksi situs tersebut, dan jika demikian, ganti file tersebut dengan backdoor mereka sendiri.
Penyerang akhirnya memodifikasi situs untuk menyertakan JavaScript berbahaya yang mencuri informasi pelanggan dan nomor kartu kredit saat membeli produk di toko.
Mengapa ada lonjakan setelah sekian lama?
Analis Sansec percaya bahwa ada beberapa alasan kami melihat lonjakan serangan yang menargetkan kerentanan ini.
Pertama, sejumlah besar situs Magento 2 tetap rentan terhadap serangan ini, bahkan sepuluh bulan setelah tambalan tersedia.
Kedua, eksploitasi PoC (bukti konsep) telah tersedia sejak lama, memungkinkan pembuat kit eksploit untuk memasukkannya ke dalam alat dan keuntungan mereka dengan menjualnya ke peretas berketerampilan rendah.
Eksploitasi Magento ini sangat melimpah sehingga dijual dengan harga serendah $2.500, sedangkan pada awal 2022, harganya antara $20.000 dan $30.000.
Sumber: Sansec
Terakhir, waktu yang ideal untuk serangan ini, karena situs web mengalami peningkatan lalu lintas karena musim liburan, yang berarti pesanan jahat dan injeksi kode mungkin lebih mungkin diabaikan.
Cara melindungi situs Anda (dan pelanggan)
Jika Anda belum menerapkan pembaruan keamanan yang membahas CVE-2022-24086, Anda harus melakukannya sesegera mungkin.
Selain itu, teliti pesanan untuk menemukan tanda-tanda serangan TrojanOrder, seperti kode template dalam formulir pemesanan atau pesanan yang dikirimkan oleh akun email anonim menggunakan Protonmail, Tutanota, dll.
Terakhir, gunakan pemindai malware backend untuk menemukan potensi infeksi di masa lalu yang menyebabkan injeksi RAT di situs Anda.
Sansec mengatakan alat resmi Magento, Pemindaian Keamanan, hanya mengikis ujung depan, sehingga tidak dapat menangkap TrojanOrders.
Karena alasan ini, firma keamanan menawarkan akses gratis selama satu bulan ke pemindainya untuk membantu administrator membersihkan situs mereka.
Ingat, mendeteksi dan menghapus malware dan backdoor PHP hanya akan menghentikan infeksi di masa mendatang jika tambalan Magento 2 diterapkan, jadi ini masih merupakan langkah paling penting yang harus diambil.
