2019’dan 2025’e Kadar Bekleyen Bir Tehlike: Magecart Saldırısı Nedir?
Magecart, tedarik zinciri saldırısı nedir?
Magecart sistemi nasıl çalışır?
Hangi uzantılar etkilendi?
Bu saldırının sonuçları neler olabilir?
Bir e-ticaret sitesi sahipleri bu durumdan nasıl etkilenir?
Etkilenen uzantılardaki arka kapının işleyişi nedir?
Magecart, tedarik zinciri saldırısı nedir?
Magecart, e-ticaret platformlarına yönelik yapılan bir siber saldırı türüdür. Bu saldırılar genellikle, kullanıcıların kişisel ve finansal verilerini çalmak için web sitelerine yerleştirilen kötü amaçlı yazılımlar kullanılır. Sansec araştırmacıları, bu saldırının 2019’dan bu yana bazı uzantılarda mevcut olduğunu ancak zararlı kodun yalnızca 2025 Nisan ayında aktif hale getirildiğini bildirmiştir. Bu tür saldırılar, genellikle birçok satıcının bir araya gelerek planlı bir şekilde hareket ettiği tedarik zinciri saldırılarına dayanır.
Magecart sistemi nasıl çalışır?
Magecart, çeşitli uzantılar üzerinden e-ticaret sitelerine yerleştirilen bir arka kapı aracılığıyla çalışır. Kullanıcının web sitesine girdikten sonra, kötü niyetli yazılım, belirli HTTP isteklerini kontrol eder. Eğer bu isteklerde "requestKey" ve "dataSign" gibi özel parametreler bulunursa, arka kapı devreye girer ve yöneticilere ek erişim yetkileri verir. Böylece saldırganlar, uzantılara yüklenen yeni bir lisans dosyası aracılığıyla sisteme sızabilir.
Hangi uzantılar etkilendi?
Sansec, saldırıya uğramış toplamda 21 farklı Magento uzantısını tespit etti. Bunlar arasında Tigren, Meetanshi ve MGS tarafından üretilen uzantılar yer almaktadır. Öne çıkan bazı uzantılar şunlardır:
- Tigren Ajaxsuite
- Meetanshi ImageClean
- MGS StoreLocator
Bu uzantılardaki bir "license check" dosyasına yerleştirilen arka kapı, saldırganların uzantı fonksiyonlarına erişmesine olanak tanır. Sansec aynı zamanda, Weltpixel GoogleTagManager uzantısının da etkilenip etkilenmediğini araştırmaktadır.
Bu saldırının sonuçları neler olabilir?
Magecart saldırıları, birçok ciddi sonuca yol açabilir. Özellikle şu durumlar söz konusudur:
- Veri Hırsızlığı: Kötü niyetli kullanıcılar, müşterilerin kredi kartı bilgileri ve diğer kişisel verilerini çalabilir.
- Arbitrary Admin Account Creation: Saldırganlar, sistemde yetkisiz yönetici hesapları oluşturabilir.
- Web Shell Yükleme: Zararlı yazılım, sunucularda web shell’ler yükleyerek tam kontrol sağlayabilir.
Bu tür sonuçlar, e-ticaret sitelerinin güvenilmez hale gelmesine yol açabilir ve müşterilerin güvenini sarsabilir.
Bir e-ticaret sitesi sahipleri bu durumdan nasıl etkilenir?
E-ticaret sitesi sahipleri, Magecart saldırısı gibi durumlarla karşı karşıya kaldıklarında büyük zorluklar yaşayabilirler. İlk olarak, müşterilerinin verilerini koruma sorumluluğu altında olan işletmeler, ciddi mali kayıplara uğrayabilir. Ayrıca, bu tür bir saldırıdan etkilenen siteler, itibar kaybı yaşayarak müşteri kaybına uğrayabilirler. Saldırının ardından, güvenlik önlemlerini artırma gerekliliği doğar ve bu da ek maliyetler getirebilir.
Etkilenen uzantılardaki arka kapının işleyişi nedir?
Etkilenen uzantılarda, lisans kontrol dosyası (License.php veya LicenseApi.php) içerisine gizlenmiş bir arka kapı bulunmaktadır. Bu arka kapı, belirli HTTP isteklerini kontrol ederek, kullanıcının kimliğini doğrulamak için sertifika anahtarları kullanır. Eğer doğrulama başarılı olursa, başka yönetici fonksiyonlarına erişim izni verir. Özellikle zararlı bir lisans dosyası yüklenirse, web sunucusuna kötü niyetli PHP kodları yüklenebilir ve çalıştırılabilir hale gelebilir.
Bu arka kapıların bazı eski sürümleri kimlik doğrulama gerektirmediği için daha geleneksel yöntemlerle korunmaktan kaçınan kullanıcılar için büyük bir tehlike oluşturuyordu. Ancak yeni sürümlerde sabit anahtarlar kullanıldığı için, daha fazla güvenlik katmanı sağlanmıştır. Yine de, uzantılardaki bu tür arka kapılar, sahte ikntisapların önünü açabilmektedir.
E-ticaret siteleri, bu durumda Sansec tarafından önerilen indikatörleri takip ederek ve sunucularında detaylı taramalar yaparak kendilerini koruma yoluna gidebilirler. Ayrıca, mümkünse temiz bir yedekten sitelerini geri yüklemeleri önerilmektedir.
E-ticaret güvenliği, sürekli bir süreçtir ve bu tür saldırılar karşısında etkin savunma mekanizmaları kurmak, internet kullanıcılarının ve iş dünyasının güvenliğinin sağlanması için kritik önem taşımaktadır.
