网络安全公司Sansec披露了一起通过21个被植入后门的Magento插件发起的供应链攻击。研究人员发现多个供应商遭到协同入侵,恶意代码早在六年前就被注入,但直到本周攻击者入侵电商服务器后才被发现。以下是关键信息:
【攻击概况】
• 攻击者入侵了Tigren、Magesolution(MGS)和Meetanshi三家供应商的下载服务器
• 在2019-2022年间发布的21款插件中植入后门(完整列表见文末表格)
• 约500-1000家电商平台受影响,包括一家市值400亿美元的跨国企业
• 后门至少自4月20日起已被活跃利用
【技术细节】
后门通过伪造的许可证检查实现:
-
核心文件:License.php或LicenseApi.php
-
攻击者可控制$licenseFile变量执行任意PHP代码
-
2019版本无需认证即可触发,新版需密钥验证
【攻击特征】
• 通过registration.php激活恶意代码
• 每个供应商的后门具有独立校验值、路径和文件名
受影响插件清单:
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
Sansec已联系受影响的供应商并收到不同回应:
• Tigren否认遭入侵,但其问题插件仍在线
• Meetanshi坚称插件未被篡改,但确认服务器曾被攻破
• Magesolution(MGS)未予回应,含后门的插件仍可下载
报告指出:"后门潜伏6年未被发现已属罕见,更蹊跷的是实际攻击行为直到最近才启动。"
原文始发于微信公众号(黑猫安全):Sansec发现一起通过21个含有后门的Magento插件发起的供应链攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论