Исследователь обнаружил скиммер на страницах ряда интернет-магазинов для правительств и международных компаний.
По меньшей мере с октября 2018 года многочисленные кибергруппировки эксплуатируют ранее неизвестную уязвимость в инструменте для управления базами данных Adminer с целью перехвата контроля над интернет-магазинами и внедрения вредоносного кода, похищающего данные платежных карт клиентов.
Атаки были замечены исследователем безопасности Виллемом де Гроотом (Willem De Groot), обнаружившим скиммеры на страницах ряда интернет-магазинов для правительств и международных компаний (названия ресурсов не раскрываются). По словам де Гроота, данный трюк использовался группировками Magecart в минувшем году. В данном случае исследователю потребовалось несколько месяцев, чтобы понять как злоумышленники компрометируют на первый взгляд хорошо защищенные ресурсы.
Как оказалось, проблема заключалась в небольшом web-приложении под названием Adminer, с помощью которого владельцы сайтов могут управлять базой данных через интерфейс в браузере. Кроме того, приложение позволяет подключаться к удаленным базам MySQL.
Adminer предоставляет возможность установить парольную защиту, однако многие администраторы не пользуются данной функцией.
По данным де Гроота, киберпреступники находят незащищенные файлы adminer.php и используют их для подключения к собственным серверам MySQL. Подключаясь к собственным базам данных через установленный на сайте инструмент Adminer, злоумышленники могут обмануть приложение и заставить его извлекать любой файл с сервера сайта. Атакующие используют эту уловку для загрузки файлов конфигурации баз данных интернет-магазинов. Эти файлы содержат логин и пароль, которые злоумышленники используют для внедрения вредоносного кода.
Уязвимыми являются все версии Adminer с 4.3.1 по 4.6.2. Релизы 4.6.3 и 4.7.0 проблеме не подвержены.
Наш канал — питательная среда для вашего интеллекта