חדשות מג'נטו

מג'נטו - פרצות אבטחה דרך דלתות אחוריות

במהלך תחקיר שנערך בחברת sucuri על סביבת מסחר אלקטרוני מג'נטו, התגלו חמש דלתות אחוריות שונות אשר יכולות לספק להאקרים יכולות של הפעלת קוד זדוני ונוזקות. הטכניקות בהן משתמשים ההאקרים בדלתות האחוריות הללו ממחישות את הנוף המשתנה של אבטחת אתרי מג'נטו ומדגישות כמה מהטקטיקות הנהוגות על ידי האקרים כדי להימנע מאיתור שגרתי של דלת אחורית.

דלת אחורית אחת התגלתה בקובץ הליבה 503.php בספריה errors. כאשר פונקציות ביצוע פקודות כגון מערכת או shell_exec מופעלות, להאקר תהיה גישה בלתי מוגבלת לקבצי אתר מג'נטו, כולל קבצי קונפיגורציה. אין זה נדיר שהאקרים מקבלים גישה ראשונית לאתר באמצעות פרצות המאפשרות העלאת קבצים וזהו לעתים קרובות מקורן של דלתות אחוריות מסוג זה. על ידי שימוש בכלים אלו, מסוגלים האקרים להעלות נוזקות להפעלת קוד מרחוק. משם, הם יכולים גם לעבור לבסיס הנתונים של מג'נטו - עם קבצי קונפיגורציה המכילים פרטי חיבור לבסיס נתונים, יהיה זה קל מאד עבורם לעבור למאגר המידע של האתר כדי להוסיף הזרקות נוספות שמטרתן ללכוד פרטי כרטיס אשראי או פרטי התחברות לפאנל ניהול האתר.

דלתות אחוריות נוספות התגלו בקובץ processor.php ובקובץ close.php וגם הן מאפשרות הפעלת קוד זדוני מרחוק. יש לציין כי קיים בידי האקרים מגוון פונקציות המשמש אותם למנוע זיהוי: גילוי דלת אחורית אחת וסגירתה עלולה להשאיר דלתות אחוריות אחרות פתוחות ותסכל ניסיונות של בעלי אתר מג'נטו לחפש פרצות אחרות.

אחד הכלים היעילים ביותר למנוע מהאקרים להשתמש בדלתות האחוריות שהם העלו הוא הוספת חומת אש לאתר מג'נטו. על ידי שימוש בסינון בקשות ואבטחה ברמת שרת אחסון האתר, עוזרת חומת אש להבטיח שאפילו במקרה שיש קובץ זדוני באתר, לא יוכלו האקרים לנצל אותו כדי לגרום נזק נוסף. הדרך הטובה ביותר לזהות סוגים אלו של פרצות אבטחה היא באמצעות ביצוע בדיקות שלמות באתר מג'נטו: מערכות בקרה וניטור יעקבו אחר כל השינויים בקבצי אתר מג'נטו ויכולות לסייע במציאת תוכנות זדוניות שאחרת לא היו מתגלות. אם לא קיימת עבור אתר מג'נטו מערכת בדיקת תקינות, ניתן לנסות לאתר דלתות אחוריות באמצעות בדיקת קבצי לוג: עבור דלתות אחוריות המקבלות קלט ישירות דרך כתובת האתר, יציגו קבצי לוג את נתיב הקובץ והפרמטרים המדויקים בהם השתמש ההאקר כדי לגשת לדלת האחורית. זה אכן מסתמך על כך שהאקרים אכן מבקרים בדלת האחורית אולם לא תמיד המקרה - לפעמים זה יכול לקחת ימים או שבועות לאחר הצבת דלת אחורית לפני שההאקרים חוזרים להשתמש בה. בדיקה שוטפת של כל הקבצים שהשתנו באתר מג'נטו היא דרך מועילה להבטיח שכל השינויים אושרו על ידי גורם לגיטימי, לעומת למשל קובץ ליבה אשר שונה באופן חד פעמי ומהווה אינדיקציה לפרצת אבטחה. השימוש בדלתות אחוריות באופן זה מראה את הצורך בבדיקת תקינות שגרתית ומעקב סדיר ותדיר אחר קבצי הליבה של האתר.