FBI, Magento Kullanıcılarını Uyardı

FBI yayınladığı bir güvenlik bildirisinde, Magento tabanlı e-ticaret sitelerini siber saldırılara karşı uyardı.

Ali
Sa, 19/05/2020 - 18:11
Güvenlik
FBI, Magento Kullanıcılarını Uyardı

FBI tarafından yayınlanan yeni bir güvenlik bildirisinde, hackerların Magento tabanlı e-ticaret sitelerini hedef aldığı söylendi.

Son yıllarda Magento tabanlı e-ticaret sitelerine, hackerların hedef siteye zararlı kodlar yerleştirerek, müşterilerin kart bilgilerini ele geçirmek amacıyla Magecart adı verilen saldırılar gerçekleştirdiği biliniyor ve siber güvenlik veya ilgili devlet kurumları bu saldırılara karşı e-ticaret sitelerini uyarıyor.

Bu konu hakkında son uyarı FBI tarafından yapıldı. FBI, hackerların Magecart saldırılarını, Magento'nun bir eklentisinde üç yıldır bulunan güvenlik açığından yararlanarak gerçekleştirdiğini söyledi.

FBI, hackerların Magento'da kullanılabilen Magmi eklentisinde bulunan CVE-2017-7391 zafiyetini sömürdüğünü söyledi. Güvenlik açığının, hackerların hedef sitenin içerisine kötü amaçlı kod yerleştirmesine olanak tanıyan bir XSS açığı olduğu söylendi.

Yetkililer hackerların, hedefledikleri e-ticaret sitesinde tam yetkiye sahip olmak için söz konusu güvenlik açığından yararlandığını ve hedef siteye eriştikten sonra ise müşteriler kart bilgilerini siteye girdiği zaman onların kart bilgilerini ele geçirmek için zararlı kodları siteye yerleştirdiklerini söyledi.

FBI, müşterilerin kart bilgileri kaydedildikten sonra ise bilgilerin Base64 biçiminde kodlanarak bir JPEG dosyasının bitlerinin içerisine gizlendiğini ve ardından, hackerların kontrolündeki sunucuya gönderildiğini söyledi.

Magmi eklentisini kullanan e-ticaret sitelerinin, güvenliklerini sağlamak için eklentinin son sürümünü kullanmaları gerekmektedir ancak bu eklenti yalnızca Magento 1'de çalışmaktadır.

Yani bu, Magmi eklentisine sahip olan bir e-ticaret sitesinin, Magento 1 kullanmaya devam etmesi gerektiği anlamına geliyor ve Magento, Magento 1'in desteğini Haziran 2020'de sonlandıracağından site sahiplerinin Magento 2'ye geçmesi güvenlik açısından daha iyi olacaktır. Zira resmi olarak desteği kalkan bir ürünün güvenlik açıkları barındırma ihtimali yüksektir.

Kaynak: ZDNet

Subscribe to newsletter

Yorumlar

Yorum mevcut değil.