Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Уязвимость в инструменте Adminer используется для взлома интернет-магазинов

22/01/19

credit-cardsПо меньшей мере с октября 2018 года многочисленные кибергруппировки эксплуатируют ранее неизвестную уязвимость в инструменте для управления базами данных Adminer с целью перехвата контроля над интернет-магазинами и внедрения вредоносного кода, похищающего данные платежных карт клиентов.

Атаки были замечены исследователем безопасности Виллемом де Гроотом (Willem De Groot), обнаружившим скиммеры на страницах ряда интернет-магазинов для правительств и международных компаний (названия ресурсов не раскрываются). По словам де Гроота, данный трюк использовался группировками Magecart в минувшем году. В данном случае исследователю потребовалось несколько месяцев, чтобы понять как злоумышленники компрометируют на первый взгляд хорошо защищенные ресурсы.

Как оказалось, проблема заключалась в небольшом web-приложении под названием Adminer, с помощью которого владельцы сайтов могут управлять базой данных через интерфейс в браузере. Кроме того, приложение позволяет подключаться к удаленным базам MySQL.

Adminer предоставляет возможность установить парольную защиту, однако многие администраторы не пользуются данной функцией.

По данным де Гроота, киберпреступники находят незащищенные файлы adminer.php и используют их для подключения к собственным серверам MySQL. Подключаясь к собственным базам данных через установленный на сайте инструмент Adminer, злоумышленники могут обмануть приложение и заставить его извлекать любой файл с сервера сайта. Атакующие используют эту уловку для загрузки файлов конфигурации баз данных интернет-магазинов. Эти файлы содержат логин и пароль, которые злоумышленники используют для внедрения вредоносного кода.

Уязвимыми являются все версии Adminer с 4.3.1 по 4.6.2. Релизы 4.6.3 и 4.7.0 проблеме не подвержены.

 

Темы:Онлайн-торговляУгрозы
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...