Un attacco in corso sta sfruttando un bug di Magento che, per quanto facilmente risolvibile, getta nuovo discredito sulla sicurezza delle piattaforme ecommerce.
Magento, particolarmente usata negli Usa, è l’anima della vendita online di diversi brand internazionali e noti in tutto il mondo ed è stata rilevata da Adobe nel 2018 per la cifra di 1,68 miliardi di dollari (1,58 miliardi di euro al cambio attuale).
Senza creare allarmismi, la storia del bug di Magento insegna che spesso le patch per correggere le falle sono messe a disposizione da chi sviluppa software, anche se la platea che ne fa uso stenta nel recepire i motivi per i quali tali patch sono da installare in tutta rapidità.
Per capire come prendere le misure con le piattaforme ecommerce ci avvaliamo dell’esperienza di Pierluigi Paganini, Ceo di CYBHORUS e Membro del Gruppo Cyber Threat Landscapes di ENISA.
Indice degli argomenti
Magento e i criminal hacker
La vulnerabilità critica CVE-2024-20720 mette gli hacker in condizione di eseguire codice arbitrario sui siti ecommerce alimentati da Magento, sfruttando il pacchetto beberli-assert usato per la convalida dell’input che, se combinato con altre librerie, è utile a una varietà di scopi.
Adobe ha rilasciato un apposito aggiornamento di sicurezza lo scorso 13 febbraio, per correggere – tra le altre – la vulnerabilità CWE-79 (cross-site scripting) che consente agli hacker sia di intercettare informazioni sensibili sia di iniettare codice malevolo nelle pagine web.
La minaccia CWE-79 è ben nota ed è una di quelle che i programmatori dovrebbero affrontare già durante la fase di sviluppo di applicazioni per il web.
È evidente che da una parte non tutti i programmatori lo fanno, così come è evidente che – a prescindere dal caso Magento – non tutte le organizzazioni applicano le patch in modo tempestivo.
Gli effetti della falla
Secondo la Procura generale della Federazione Russa, gli hacker avrebbero intercettato i dati di circa 160mila carte di credito per metterli in vendita su mercati paralleli. Numeri che vanno sommati a quelli raccolti da autorità di altri Paesi e che, al momento almeno, non sono noti.
Tramite il comando sed, gli hacker inseriscono uno skimmer di pagamento Stripe riuscendo così a entrare in possesso di informazioni finanziarie riservate. Il governo russo fa risalire le origini a questo tipo di attacco al 2017 e quindi non si tratta di una minaccia tale da cogliere impreparati. Nonostante ciò, ancora nel pieno del 2024, continua a dare sfoggio di sé.
Cosa deve fare chi usa Magento
La risposta ovvia è quella di aggiornare qualsiasi sistema con continuità e questo non vale soltanto per le piattaforme Magento. Va da sé che, soprattutto quando si tratta di applicazioni business critical (siano queste online oppure offline) è raccomandabile avere un ambiente di test identico a quello produttivo per testare l’applicazione di update e patch affinché eventuali problemi possano essere risolti.
Compiti di per sé non proibitivi che, dati alla mano, vengono ancora presi sottogamba. Pierluigi Paganini illustra i perché di tali reazioni lasche: “Molte aziende non hanno alcuna consapevolezza dell’importanza delle attività del patch management e purtroppo questo problema affligge imprese di qualunque dimensione e settore. Molte delle campagne malware e hacking che si osservano sfruttano falle per le quali sono disponibili aggiornamenti da settimane, mesi e talvolta anni.
Le vittime di questi attacchi sono proprio quelle aziende che tardano nell’applicazione di aggiornamenti di sicurezza. In alcuni casi le aziende ritardano l’applicazione degli update perché temono che possano inficiare le operazioni dei loro sistemi oppure perché i sistemi aggiornati potrebbero non supportare alcune componenti software (per esempio, plugin) ritenuti importanti”.
La difesa predittiva
Prendere le misure con il panorama delle cyber offensive include la necessità di dotarsi di sistemi di difesa predittiva i quali, come spiega Pierluigi Paganini, “possono aiutare le imprese a prevenire attacchi a sistemi non aggiornati in vari modi”:
- Monitoraggio del comportamento anomalo, ad esempio un aumento improvviso dei tentativi di accedere a specifiche componenti da parte di utenti non autorizzati.
- Identificazione di vulnerabilità mediante l’analisi dei sistemi per individuare vulnerabilità note e potenziali che potrebbero essere sfruttate da un attaccante.
- Previsione delle minacce grazie all’utilizzo dell’intelligenza artificiale e il machine learning. Analizzando i trend di attacco contro specifiche piattaforme è possibile prevedere i tipi di attacchi più probabili, consentendo alle aziende di prendere misure preventive.
- I sistemi più avanzati di difesa predittiva possono bloccare automaticamente le minacce note, ad esempio impedendo lo sfruttamento di vulnerabilità conosciute.
E non è tutto, evidenzia Paganini, perché “In ogni caso una efficace strategia di difesa si articola in diversi livelli che combinano molteplici tecnologie e approcci”.
Le piattaforme ecommerce e le piccole imprese
C’è un lato persino ironico nei problemi che attanagliano le piattaforme ecommerce. Per definizione, queste sono trampolino di lancio anche per le piccole e medie imprese, ossia quelle organizzazioni che hanno meno risorse da dedicare alla sicurezza.
Pierluigi Paganini offre degli spunti appannaggio delle piccole realtà aziendali: “Per le piccole e medie imprese (Pmi) che vendono online senza risorse umane dedicate alla gestione della sicurezza informatica è auspicabile che siano rispettati requisiti minimi di sicurezza:
- Mantenere aggiornati software e sistemi operativi.
- Utilizzare password forti e univoche per tutti gli account online, incluso l’account di e-commerce, i pannelli di amministrazione dei siti web e gli account dei fornitori di servizi di pagamento.
- Attivare l’autenticazione a due fattori (2FA) per tutti gli account che lo supportano.
- Installare e aggiornare regolarmente un software antivirus e anti-malware ed eseguire regolari scansioni dei propri sistemi.5
- Effettuare backup regolari dei dati aziendali e conservarli offline.
- Formare i dipendenti sui principi di base della sicurezza informatica.
Suggerirei, comunque, di utilizzare soluzioni di sicurezza gestite forniti da terze parti che si occupano della gestione e del monitoraggio della sicurezza informatica”, conclude l’esperto.
