Fishpig, un fabricante de software de comercio electrónico con sede en el Reino Unido utilizado por hasta 200,000 sitios web, insta a los clientes a reinstalar o actualizar todas las extensiones de programas existentes después de descubrir una brecha de seguridad en su servidor de distribución que permitió a los delincuentes acceder clandestinamente a los sistemas de los clientes.
Los actores de amenazas desconocidos utilizaron su control de los sistemas de FishPig para llevar a cabo un ataque a la cadena de suministro que infectó los sistemas de los clientes con Registro, una sofisticada puerta trasera descubierta en junio. Rekoobe se hace pasar por un servidor SMTP benigno y puede activarse mediante comandos encubiertos relacionados con el manejo del comando startTLS de un atacante a través de Internet. Una vez activado, Rekoobe proporciona un shell inverso que permite al actor de amenazas emitir comandos de forma remota al servidor infectado.
“Todavía estamos investigando cómo el atacante accedió a nuestros sistemas y actualmente no estamos seguros de si fue a través de un exploit de servidor o de una aplicación”, escribió en un correo electrónico Ben Tideswell, el desarrollador principal de FishPig. “En cuanto al ataque en sí, estamos bastante acostumbrados a ver exploits automatizados de aplicaciones y tal vez así fue como los atacantes inicialmente obtuvieron acceso a nuestro sistema. Sin embargo, una vez dentro, deben haber tomado un enfoque manual para seleccionar dónde y cómo colocar su explotar.”
FishPig es un vendedor de integraciones Magento-WordPress. Magento es una plataforma de comercio electrónico de código abierto que se utiliza para desarrollar mercados en línea.
Tideswell dijo que el último compromiso de software realizado en sus servidores que no incluía el código malicioso se realizó el 6 de agosto, por lo que es la fecha más temprana posible en la que probablemente ocurrió la infracción. Sansec, la empresa de seguridad que descubrió la brecha y lo reportó por primera vezdijo que la intrusión comenzó el 19 de agosto o antes. Tideswell dijo que FishPig ya “envió correos electrónicos a todos los que descargaron algo de FishPig.co.uk en las últimas 12 semanas para alertarlos sobre lo que sucedió”.
en un divulgación Publicado después de que se publicara el aviso de Sansec, FishPig dijo que los intrusos usaron su acceso para inyectar código PHP malicioso en un archivo Helper/License.php que se incluye en la mayoría de las extensiones de FishPig. Después del lanzamiento, Rekoobe elimina todos los archivos de malware del disco y se ejecuta únicamente en la memoria. Para mayor sigilo, se esconde como un proceso del sistema que intenta imitar uno de los siguientes:
/usr/sbin/cron -f
/sbin/udevd-d
corona
auditado
/usr/sbin/rsyslogd
/usr/sbin/atd
/usr/sbin/acpid
dbus – demonio — sistema
/sbin/iniciar
/usr/sbin/cronyd
/usr/libexec/postfix/maestro
/usr/lib/kit de paquete/kit de paquete
Luego, la puerta trasera espera los comandos de un servidor ubicado en 46.183.217.2. Sansec dijo que aún no había detectado abuso de seguimiento del servidor. La firma de seguridad sospecha que los actores de amenazas pueden planear vender el acceso a las tiendas afectadas a granel en foros de piratería.
Tideswell se negó a decir cuántas instalaciones activas de su software hay. Esta publicación indica que el software ha recibido más de 200.000 descargas.
En el correo electrónico, Tideswell agregó:
El exploit se colocó justo antes de que se cifrara el código. Al colocar el código malicioso aquí, nuestros sistemas lo ofuscarían instantáneamente y lo ocultarían a cualquiera que mirara. Si algún cliente preguntara sobre el archivo ofuscado, le aseguraríamos que se suponía que el archivo estaba ofuscado y que era seguro. El archivo era entonces indetectable por los escáneres de malware.
Este es un sistema personalizado que desarrollamos. Los atacantes no podrían haber investigado esto en línea para averiguarlo. Una vez dentro, deben haber revisado el código y haber tomado una decisión sobre dónde implementar su ataque. Eligieron bien.
Todo esto se ha limpiado ahora y se han instalado múltiples defensas nuevas para evitar que esto vuelva a suceder. Actualmente estamos en el proceso de reconstruir todo nuestro sitio web y los sistemas de implementación de código de todos modos y los nuevos sistemas que ya tenemos (que aún no están activos) ya tienen defensas contra ataques como este.
Tanto Sansec como FishPig dijeron que los clientes deben asumir que todos los módulos o extensiones están infectados. FishPig recomienda a los usuarios actualizar inmediatamente todos los módulos de FishPig o reinstalarlos desde la fuente para asegurarse de que no quede nada del código infectado. Los pasos específicos incluyen:
Vuelva a instalar FishPig Extensions (Mantener versiones)
rm -rf proveedor/fishpig && composer clear-cache && composer install –no-cache
Actualizar las extensiones FishPig
rm -rf proveedor/fishpig && composer clear-cache && composer actualizar fishpig/* –no-cache
Eliminar archivo troyano
Ejecute el siguiente comando y luego reinicie su servidor.
rm -rf /tmp/.barniz7684
Sansec aconsejó a los clientes que deshabiliten temporalmente cualquier extensión de pago de Fishpig, ejecuten un escáner de malware del lado del servidor para detectar cualquier malware instalado o actividad no autorizada, y luego reinicien el servidor para finalizar cualquier proceso en segundo plano no autorizado.