Привіт із минулого: як старі вразливості в Magento CMS дали про себе знати у 2025 році

Фахівці з Sansec виявили масштабну атаку на ланцюжок поставок, в ході якої зловмисники ще в 2019 році впровадили бекдори в популярні розширення для Magento CMS (платформа для електронної комерції, функціонує як система управління контентом і дозволяє створювати та керувати різними типами контенту, включаючи статичні сторінки, блоки і віджети, які потім можна інтегрувати в інтернет-магазин). Ці шкідливі компоненти «спали» шість років, активувавшись лише у квітні 2025 року, що призвело до компрометації багатьох онлайн-магазинів по всьому світу.

Механізм атаки

Шкідливий код було впроваджено у файл перевірки ліцензії (License.php або LicenseApi.php) розширень. Він аналізував вхідні запити HTTP на наявність певних параметрів ( requestKey і dataSign) і, при збігу з жорстко закодованими ключами, надавав доступ до функцій адміністрування. Це дозволяло зловмисникам завантажувати та виконувати довільний PHP-код на сервері жертви.

Масштаб та наслідки

Серед скомпрометованих розширень виявилися продукти від Tigren, Meetanshi та MGS (Magesolution). Також було виявлено заражену версію розширення Weltpixel GoogleTagManager, проте джерело її компрометації залишається незрозумілим.

Sansec спробувала зв'язатися з розробниками: MGS не відповіла на запит, Tigren заперечувала факт злому та продовжила поширення заражених розширень, а Meetanshi визнала злом сервера, але не підтвердила компрометацію своїх продуктів.

Одна з жертв атаки - транснаціональна корпорація з оборотом $40 мільярдів.

Рекомендації

Користувачам зазначених розширень рекомендується:

• Провести повне сканування файлів на сервері на наявність бекдорів.

• Відновити сайти із заздалегідь чистих резервних копій.

• Оновити всі розширення до останніх версій і переконатися у їхній безпеці.

Аналітики Sansec продовжують розслідування та обіцяють надати додаткові деталі у міру їх появи.