資安研究人員指出,全球約有 25 萬商家採用的 Magento開放原始碼電子商務內容管理系統 (CMS) 平台,日前傳出至少有上千個採用該平台架設的網站遭駭客使用暴力破解方式入侵,不僅竊取了信用卡資料,更在系統上安裝虛擬貨幣挖礦惡意程式。然而,駭客在這些攻擊當中並未用到任何漏洞。
[延伸閱讀:KimcilWare 勒索病毒攻擊 Magento 網站]
駭客使用常見、已知、或預設的帳號密碼來登入系統
此事件當中的 Magento 網站是遭駭客使用一些常見、已知、或預設的帳號密碼來登入系統。經驗老道的駭客會利用腳本來將其攻擊自動化 (也就是所謂的「字典式攻擊」)。駭客一旦入侵了網站,就會在其核心檔案 (也就是應用程式記憶體內容的時點快照) 當中注入惡意程式碼,進而存取處理付款/信用卡資料的網頁。他們會攔截並竊取網站伺服器所收到和處理的敏感資料。
發現這些暴力破解攻擊的資安研究人員表示,遭到入侵的網站會傳回一個假冒成 Adobe Flash Player 更新程式的檔案。但該檔案其實是一個惡意的 JavaScript 檔案,會下載一個叫做「AZORult」的資訊竊取程式到電腦上 (趨勢科技命名為:TROJ_TIGGRE.LL),接著 AZORult 會再下載一個叫做「Rarog」的加密虛擬貨幣挖礦程式 (趨勢科技命名為:COINMINER_MALXMR.TIBAGC)。
[延伸閱讀:WordPress Jetpack 外掛程式的一個 XSS 漏洞如何讓上百萬的 WordPress 網站陷入危險]
一旦發生資料外洩,GDPR最高罰鍰為 2,000 萬歐元或企業全球年營收的 4%
2016 年,以 Magento 為平台的企業,其電子商務營業總額高達 1,010 億美元,總客戶人口高達 5,100 萬。因此,對於那些需要處理及管理金融資料與個人身分識別資訊的企業來說,暴力破解攻擊是一大威脅。企業除了可能遭到營業損失及商譽損失之外,即將上路的歐盟通用資料保護法 (GDPR) 也將使企業雪上加霜,因為一旦發生資料外洩,該法的最高罰鍰為 2,000 萬歐元或企業全球年營收的 4%。
研究人員表示,美國及歐洲的教育和醫療機構是目前最大的受害者。此外,駭客也攻擊了其他電子商務平台,例如:Powerfront 及 OpenCart。
[資安指南:目前最常見的網頁注入攻擊:該如何防範]
如何藉由安全的開發營運 (DevOps) 來解決此問題?
開發營運 (DevOps) 不單是一種理念,也是一項工具。它意味著安全一開始就必須融入設計當中,才能妥善保護網站應用程式所仰賴的環境和基礎架構。這並非只是為了提升客戶/使用者的體驗而已,更為了提升開發和部署的靈活性及擴充性。
確實,網站應用程式正徹底改變機密資料 (甚至營運關鍵資料) 在企業與客戶之間的流通方式。Magento 的漸進式網頁應用程式 (Progressive Web Application,簡稱 PWA) 就是一個最好的例子,它結合了網站與原生行動應用程式的功能。當然,不斷增加新的功能或採用新的技術,有助於應用程式創造出更完善的產品或服務,但不應因此犧牲安全性。例如,根據 SANS Institute 指出,有 15% 的企業機構曾因應用程式而發生資料外洩,另有 24% 每年只測試其應用程式一次或不到一次。
所以,程式開發人員和系統管理員皆應做好自己的本份,因為只要有一個漏洞沒有補好,或者留著預設或久未更新的帳號密碼,就可能讓駭客逮到機會。此外,除了養成良好的資安習慣之外,程式開發人員和系統管理員還應建置一些攻擊防範機制,例如採用一套可防止駭客不斷嘗試登入的認證方法,如此就能防範暴力破解攻擊。除此之外,還可採用最低授權原則以及加密來縮小應用程式的打擊面,並且定期測試應用程式是否有可攻擊的漏洞。
原文出處:Magento-Based Websites Hacked to Steal Credit Card Data and Install Cryptocurrency-Mining Malware