Un hombre de dibujos corre a través de un campo blanco de unos y ceros.

Fishpig, un fabricante de software de comercio electrónico con sede en el Reino Unido utilizado por hasta 200,000 sitios web, insta a los clientes a reinstalar o actualizar cualquier complemento existente después de descubrir una brecha de seguridad en su servidor de distribución que permitió a los delincuentes hacerlo para abrir en secreto el cliente. sistemas a través de puertas traseras.

Los actores de amenazas desconocidos utilizaron su control sobre los sistemas de FishPig para lanzar un ataque a la cadena de suministro que infectó los sistemas de los clientes con Rekoobe, una puerta trasera sofisticada descubierta en junio. Rekoobe se hace pasar por un servidor SMTP benigno y puede activarse mediante comandos sigilosos relacionados con el manejo del comando startTLS de un atacante a través de Internet. Una vez activado, Rekoobe proporciona un shell inverso que permite al atacante emitir comandos de forma remota al servidor infectado.

«Todavía estamos investigando cómo el atacante accedió a nuestros sistemas y actualmente no estamos seguros de si fue a través de un servidor o de una aplicación», escribió Ben Tideswell, desarrollador principal de FishPig, en un correo electrónico. “En cuanto al ataque en sí, estamos acostumbrados a ver explotaciones automatizadas de aplicaciones, y tal vez así fue como los atacantes obtuvieron acceso originalmente a nuestro sistema. Sin embargo, una vez dentro, deben haber adoptado un enfoque manual para elegir dónde y cómo colocar sus cosechas».

FishPig es un vendedor de integraciones de Magento WordPress. Magento es una plataforma de comercio electrónico de código abierto que se utiliza para desarrollar mercados en línea.

Tideswell dijo que el último compromiso de software en sus servidores que no contenía el código malicioso fue el 6 de agosto, que es probablemente la fecha más temprana posible de la infracción. Sansec, la firma de seguridad que descubrió y reportó por primera vez la violación, dijo que el allanamiento comenzó el 19 de agosto o antes. Tideswell dijo que FishPig ya «envió correos electrónicos a cualquiera que haya descargado algo de FishPig.co.uk en las últimas 12 semanas advirtiéndoles de lo que sucedió».

En una divulgación realizada después del lanzamiento de la Guía de asesoramiento de Sansec, FishPig dijo que los intrusos usaron su acceso para inyectar código PHP malicioso en un archivo Helper/License.php incluido con la mayoría de las extensiones de FishPig. Una vez iniciado, Rekoobe elimina todos los archivos de malware del disco duro y se ejecuta exclusivamente en la RAM. Para disfrazarlo aún más, se oculta como un proceso del sistema que intenta imitar uno de los siguientes:

/usr/sbin/cron -f
/sbin/udevd-d
crond
auditado
/usr/sbin/rsyslogd
/usr/sbin/atd
/usr/sbin/acpid
dbus-daemon –sistema
/sbin/inicial
/usr/sbin/cronyd
/usr/libexec/postfix/maestro
/usr/lib/kit de paquete/kit de paquete

Luego, la puerta trasera escucha los comandos de un servidor en la dirección 46.183.217.2. Sansec dijo que aún no ha detectado ningún abuso posterior del servidor. La firma de seguridad sospecha que los actores de amenazas planean vender el acceso a las tiendas afectadas a granel en foros de piratería.

Tideswell se negó a decir cuántas instalaciones activas de su software hay. Esta publicación indica que el software ha recibido más de 200.000 descargas.

En el correo electrónico, Tideswell agregó:

El exploit se colocó justo antes de que se cifrara el código. Colocar el código malicioso aquí lo ofusca inmediatamente de nuestros sistemas y lo oculta de cualquiera que lo mire. Luego, cuando un cliente preguntó sobre el archivo ofuscado, le aseguramos que el archivo debería estar ofuscado y que estaba seguro. Entonces, los escáneres de malware no podrían encontrar el archivo.

Este es un sistema personalizado que desarrollamos. Los atacantes no pueden haber investigado esto en línea para averiguarlo. Una vez dentro, deben haber revisado el código y haber tomado una decisión sobre dónde usar su ataque. Has elegido bien.

Todo esto ya se ha limpiado y se han instalado varias defensas nuevas para evitar que esto vuelva a suceder. Actualmente estamos en el proceso de reconstruir todo nuestro sitio web y los sistemas de entrega de código de todos modos, y los nuevos sistemas que ya hemos implementado (que aún no están activos) ya tienen mitigaciones contra tales ataques.

Tanto Sansec como FishPig dijeron que los clientes deben asumir que cualquier módulo o extensión está infectado. FishPig aconseja a los usuarios que actualicen inmediatamente todos los módulos de FishPig o que los reinstalen desde la fuente para asegurarse de que no quede ningún código infectado. Los pasos específicos incluyen:

Vuelva a instalar las extensiones de FishPig (mantenga las versiones)

rm -rf proveedor/fishpig && composer clear-cache && composer install –no-cache

Actualizar las extensiones FishPig

rm -rf proveedor/fishpig && composer clear-cache && actualizar composer fishpig/* –no-cache

Eliminar archivo troyano

Ejecute el siguiente comando y luego reinicie su servidor.

rm -rf /tmp/.barniz7684

Sansec aconsejó a los clientes que deshabiliten temporalmente todas las extensiones pagas de Fishpig, ejecuten un escáner de malware del lado del servidor para detectar malware instalado o actividad no autorizada, y luego reinicien el servidor para eliminar cualquier proceso en segundo plano no autorizado.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí