Adminer vositasidagi zaiflik onlayn-do’konlarni buzish uchun ishlatilmoqda.
Tadqiqotchi hukumatlar va xalqaro kompaniyalar uchun bir qator onlayn-do’konlar sahifalarida skimmerni topdi.
2018-yil oktyabr oyidan beri ko’plab kiberjinoyatchilar guruhlari Adminer ma’lumotlar bazasini boshqarish vositasidagi ilgari noma’lum bo’lgan zaiflikdan foydalanib, onlayn-do’konlarni nazorat qilish va mijozlarning to’lov kartalari ma’lumotlarini o’g’irlaydigan zararli kodni kiritishmoqda. Hujumlarni birinchi marta xavfsizlik bo’yicha tadqiqotchi Villem De Groot payqagan, u hukumatlar va xalqaro kompaniyalar uchun bir nechta onlayn-do’konlar sahifalarida skimmerlarni aniqlagan (saytlarning nomlari oshkor qilinmagan). De Grootning so’zlariga ko’ra, bu hiyla o’tgan yili Magecart guruhi tomonidan qo’llanilgan. Bu holatda, tadqiqotchiga hujumchilar yaxshi himoyalangan ko’rinadigan saytlarni qanday qilib buzayotganini tushunish uchun bir necha oy kerak bo’ldi.
Ma’lum bo’lishicha, muammo Adminer deb nomlangan kichik veb-ilovada bo’lib chiqdi, bu veb-sayt egalariga o’z ma’lumotlar bazalarini brauzer interfeysi orqali boshqarish imkonini beradi. Ilova shuningdek, masofaviy MySQL ma’lumotlar bazalariga ulanish imkonini beradi.
Administrator parol himoyasini o’rnatish imkoniyatini beradi, ammo ko’plab administratorlar bu funksiyadan foydalanmaydi.
De Grootning so’zlariga ko’ra, kiberjinoyatchilar himoyalanmagan adminer.php fayllarini topib, ulardan o’zlarining MySQL serverlariga ulanish uchun foydalanadilar. Veb-saytga o’rnatilgan Adminer vositasi orqali o’z ma’lumotlar bazalariga ulanish orqali tajovuzkorlar ilovani veb-sayt serveridan istalgan faylni olishga aldashlari mumkin. Tajovuzkorlar bu hiyladan onlayn-do’kon ma’lumotlar bazasi konfiguratsiya fayllarini yuklab olish uchun foydalanadilar. Ushbu fayllarda login va parol ma’lumotlari mavjud bo’lib, ulardan tajovuzkorlar zararli kodni kiritish uchun foydalanadilar.
Adminerning 4.3.1 dan 4.6.2 gacha bo’lgan barcha versiyalari zaif. 4.6.3 va 4.7.0 versiyalari bu muammoga ta’sir qilmaydi.
