De FBI waarschuwt op Magento-gebaseerde webwinkels voor aanvallen die gebruikmaken van een kwetsbaarheid in de Magmi-tool. Magmi staat voor Magento Mass Importer en is een tool voor het importeren van producten en andere data in een Magento-webwinkel. De FBI laat in een recent "Flash Alert" weten dat criminelen Magento-webwinkels compromitteren en van kwaadaardige JavaScriptcode voorzien die creditcardgegevens van klanten steelt.

Een Amerikaanse webwinkel die slachtoffer van deze criminelen werd kon worden gecompromitteerd via een drie jaar oud beveiligingslek in Magmi versie 0.7.22. De kwetsbaarheid wordt aangeduid met CVE-2017-7391 en maakt het mogelijk voor een aanvaller om via cross-site scripting inloggegevens van de beheerder te stelen, waarmee vervolgens toegang tot de webwinkel wordt verkregen.

Zodra de aanvallers toegang hebben installeren ze een webshell. Een webshell is kwaadaardige code die vaak in programmeertalen zoals ASP, PHP en JSP is geschreven en door aanvallers op webservers wordt geplaatst. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. In het geval van de gecompromitteerde webshop werd er aan de betaalpagina's code toegevoegd die creditcardgegevens, naam, e-mailadres, adresgegevens en telefoonnummer van klanten onderschepte en terugstuurde naar de aanvallers.

Volgens de FBI is het onder andere belangrijk dat webwinkels al hun software up-to-date houden, niet gebruikte extensies binnen de webwinkel uitschakelen, de standaard inloggegevens voor alle systemen wijzigen, netwerksegmentatie toepassen, permissies voor directories en bestanden toepassen, geregeld penetratietests laten uitvoeren en logs op verdachte activiteiten monitoren. Het Flash Alert werd openbaar gemaakt door advocatenkantoor CSG (pdf).