Seguridad y Magento: numerosos ataques de un hacker

El pasado fin de semana se produjo el ataque de un hackers informático que afectó alrededor de 2000 tiendas Magento 1. Una noticia realmente increíble si pensamos en la cantidad de comercios electrónicos que aún se hacen con esta versión de la plataforma.

¿Qué ha sucedido exactamente?

Aproximadamente 2000 tiendas Magento 1 fueron pirateadas el fin de semana pasado y es probable que el número de ataques sea mucho mayor.

En esencia, las tiendas Magento 1 estuvieron en el punto de mira de los hackers informáticos, que instalaron un JavaScript capaz de tomar datos confidenciales de los clientes, incluidos los datos de las tarjetas de crédito.

El ataque fue detectado por Sansec, que luego publicó un informe que indicaba que la mayoría de los sitios Magento afectados estaban relacionados con la versión 1 del CMS.

La hipótesis del ataque

Parece que hackers explotaron una vulnerabilidad zero-day de Magento para ejecutar este ataque. Además, se piensa que estos hackers se mueven a través de dos servidores para comunicarse con el panel de administración de Magento, a través de Magento Connect. Desde esta "puerta", los piratas informáticos pudieron ingresar a la tienda e inyectar el código JavaScript que cargó el malware. Puede encontrar más información sobre malware en Wikipedia: https://en.wikipedia.org/wiki/Malware .

Magento Connect

El market de Magento se conocía anteriormente como "Magento Connect". En la misma tienda hay una página donde puedes instalar extensiones en la tienda. Puede encontrar esta área donde agregar / descargar a la URL de su tienda, p. Ej. https://my-mage-one-shop.com/downloader/

¿Cómo puedo saber si mi tienda ha sido atacada?

Primero, está la opción de verificar si ha habido un ataque buscando en los archivos de registro del servidor para acceder al directorio de descarga.

Probablemente se vean así:

/downloader/index.php?A=connectInstallPackageUpload&maintenance=1&archive_type=0&backup_name=

¿Qué posibilidades hay de que se vea afectado?

Si ha bloqueado el acceso al directorio del downloader en su tienda o este directorio no existe en su tienda, está seguro.

sansec.io también ha publicado la lista de TLD , que están actualmente afectados y pirateados: 872 .com; 115 .uk; 91 .nl; 77 .de; 69 .br; 61 .it; 42 .au; 38 .net; 34 .ro; 34 .pl

¿Cómo puedo saber si mi tienda ha sido atacada por un hacker?

Cuando esté en la página de pago, abra el código fuente de su página y busque el siguiente término:

attacco-magento-codice

Hasta donde sabemos, el código JavaScript incrustado tiene este aspecto:

¿Qué debo hacer si encuentro el código del Malware?

Póngase en contacto con su agencia o desarrollador y pídales que busquen y eliminen este código de inmediato. También debe buscar archivos que no formen parte de la instalación de Magento. En muchas de las tiendas atacadas se encontró un archivo mysql.php en el directorio raíz. Asegúrese de informar a los clientes que hayan realizado pedidos desde el fin de semana que sus datos están en peligro.

¿Qué hace este código?

Podemos suponer que el código de malware introducido en la pasarela de pago de su tienda está intentando interceptar la tarjeta de crédito u otra información de inicio de sesión.

¿Qué puedo hacer para proteger mi tienda?

Tiene dos posibilidades para proteger su tienda. 

1. Proteger el directorio con el archivo .htacess

Abra el archivo .htaccess ubicado en la carpeta raíz de su instalación de Magento (donde se encuentran cron.sh y cron.php) y agregue la siguiente línea al principio: RedirectMatch 404 ^ / downloader /.*$

2. Eliminar el directorio del downloader

Elimine el directorio "downloader" por completo, lo encontrará en el directorio raíz. Dado que Marketplace para Magento 1 se ha desactivado, el descargador ya no se puede utilizar para este propósito. Alternativamente, puede cambiar el nombre del directorio, pero una supresión completa es mucho más segura.

¿Qué puedo hacer para mantener la seguridad de mi tienda Magento 1?

Después del final del soporte para Magento 1, desafortunadamente las tiendas Magento creadas con esta versión pueden ser víctimas de ataques y vulnerabilidades como las destacadas en este artículo. Si quiere tener una tienda Magento 1 siempre protegida, le aconsejamos probar el nuevo servicio MageShield, el escudo protector para Magento 1.

¿Qué es MageShield para Magento 1?

MageShield es el nuevo servicio que permite a empresas como la suya mantener su sitio en Magento 1 activo y funcionando con seguridad, incluso después de la EOL. Gracias a MageShield tendrás actualizaciones de seguridad y tecnología durante un largo período de tiempo.

MageShield puede ofrecerle la flexibilidad que necesita hasta que esté listo para dejar Magento 1.

Una migración de Magento 1 a Magento 2 puede implicar costes muy altos, ya que da como resultado la creación de un sitio desde cero. Teniendo en cuenta el impacto de estos costes, es fácil ver por qué muchos no han querido dar este paso.

MageShield ofrece una forma conveniente para que los comerciantes permanezcan en Magento 1 mientras sopesan cambiar o no de plataforma.

El coste de la protección MageShield empieza a partir de 49 € / mes.

Conclusiones

Este episodio es realmente muy grave, pues esta vulnerabilidad permitió el ataque completo a los sitios realizados en Magento 1. Son 95.000 los e-commerce que tienen este tipo de versión del CMS, por lo que entendemos la gravedad de esta noticia en cuanto a la repercusión sobre la calidad, seguridad y confiabilidad de un comercio electrónico.

Non perderti le ultime novità!

Iscriviti oggi per restare aggiornato su tutte le novità Magentiamo