Он уже насчитывает более 60 расширений, открывающих взломщикам доступ к управлению интернет-магазинами.
Независимый исследователь Уиллем де Грут (Willem de Groot) вместе с другими специалистами запустил репозиторий небезопасных расширений CMS Magento. На момент публикации в хранилище собрано более 60 плагинов. Инициатива призвана помочь веб-администраторам устранить уязвимости на сайтах.
На запуск проекта эксперта подтолкнула прошлогодняя находка: в октябре де Грут обнаружил, что взломщики все чаще проникают на сайты через незащищенные плагины. Когда связаться с разработчиками уязвимых расширений не удалось, специалист решил создать черный список опасного ПО.
По словам исследователя, уязвимые плагины — это новая ступень эволюции в развитии атак на CMS Magento.
«В 2015-м злоумышленники использовали брешь Shoplift [которая позволяла исполнить сторонний код и получить администраторский доступ к сайту], — рассказал де Грут. — В 2016–2017 годах они переключились на слабые пароли. Со временем те исчерпались, и в конце 2018-го появился новый вектор атаки — сторонние расширения. По моим оценкам, за последние три месяца таким образом взломали несколько тысяч интернет-магазинов (около 50 в день)».
Новый метод позволяет преступникам быстро расширять площадь атаки. Злоумышленник проникает на сайт через известную ему уязвимость и загружает все установленные на площадке плагины. Далее он сканирует их на предмет новых брешей и в случае успеха начинает следующий поиск — уже с применением только что обнаруженных дыр.
По словам эксперта, разработчики расширений Magento боятся за свою репутацию и не привлекают к поиску уязвимостей должного внимания. В результате веб-администраторы не могут узнать, какие из десятков установленных плагинов опасны.
Проблему усугубляет и то, что владельцы интернет-магазинов неохотно выделяют время на обновление ПО. Очередная версия плагина может работать нестабильно или оказаться несовместимой с другими расширениями. Все это приводит к простоям площадки и, как следствие, прямым убыткам — администраторы зачастую предпочитают оставить все как есть.
Эксперт ожидает, что со временем все участники процесса станут относиться к безопасности с большей ответственностью. Поставщики расширений смогут продвигать свои продукты через отсутствие уязвимостей. Этот аргумент будет иметь особое значение для заказчиков, которые уже сталкивались с кибератаками. До тех пор веб-администраторам следует самостоятельно позаботиться о защите сайтов:
В ноябре 2018 года де Грут сообщил, что всего за три месяца злоумышленники взломали 5400 магазинов на базе Magento. Преступная активность резко усилилась в сентябре, когда всего за неделю взлому подверглись более 88 тыс. площадок. В 20% случаев атаки повторяются два и более раз — преступники возвращаются на сайт даже после того, как администраторы удаляют вредоносный скрипт.