แฮ็กเกอร์ใช้ประโยชน์จากช่องโหวในโมดูล Facebook ระดับพรีเมี่ยม สำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อติดตั้ง card skimmer บนเว็บไซต์ e-commerce ที่มีช่องโหว่ และขโมยข้อมูลการชำระเงินผ่านบัตรเครดิตของผู้ใช้งาน
PrestaShop เป็นแพลตฟอร์ม e-commerce แบบ open-source ที่ช่วยให้ผู้ใช้งาน และธุรกิจสามารถสร้าง และจัดการร้านค้าออนไลน์ได้ โดยในปี 2024 มีร้านค้าออนไลน์ประมาณ 300,000 แห่งทั่วโลกที่ใช้งานอยู่
pkfacebook เป็น add-on ของบริษัท Promokit เป็นโมดูลที่ช่วยให้ผู้เยี่ยมชมร้านค้าเข้าสู่ระบบได้โดยใช้บัญชี Facebook, แสดงความคิดเห็นในเพจของร้านค้า และสื่อสารกับฝ่าย support โดยใช้ Messenger
Promokit มียอดขายมากกว่า 12,500 ครั้ง แต่โมดูล Facebook จะถูกขายผ่านเว็บไซต์ของ Promokit เท่านั้น และไม่มีรายละเอียดอื่น ๆ เกี่ยวกับ sales number
ช่องโหว่ระดับ Critical หมายเลข CVE-2024-36680 เป็นช่องโหว่ SQL Injection ใน Ajax สคริปต์ facebookConnect.php ของ pkfacebook ทำให้ผู้โจมตีสามารถโจมตีในลักษณะ SQL Injection ผ่านทาง HTTP requests ได้
นักวิเคราะห์ของ TouchWeb ค้นพบช่องโหว่ดังกล่าวเมื่อวันที่ 30 มีนาคม 2024 แต่ Promokit ระบุว่าช่องโหว่ดังกล่าวได้รับการแก้ไขมานานแล้ว โดยไม่ได้ให้หลักฐานใด ๆ
เมื่อต้นสัปดาห์ที่ผ่านมา Friends-of-Presta ได้เผยแพร่ชุดสาธิตการโจมตี (PoC) ของช่องโหว่ CVE-2024-36680 และแจ้งเตือนว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีเพื่อติดตั้ง web skimmer เพื่อขโมยข้อมูลบัตรเครดิตเป็นจำนวนมาก
Friends-of-Presta แนะนำว่าช่องโหว่ดังกล่าวอาจจะส่งผลกระทบกับ pkfacebook ทุกเวอร์ชัน และแนะนำวิธีการลดผลกระทบต่อไปนี้:
- อัปเกรด pkfacebook ให้เป็นเวอร์ชันล่าสุด ซึ่งจะปิดใช้งาน multiquery executions แม้ว่าจะไม่สามารถป้องกัน SQL Injection โดยการใช้คำสั่ง UNION ก็ตาม
- ตรวจสอบให้แน่ใจว่ามีการใช้ pSQL เพื่อหลีกเลี่ยงช่องโหว่ Stored XSS เนื่องจากมีฟังก์ชัน strip_tags เพื่อเพิ่มความปลอดภัย
- แก้ไข "ps_" prefix ให้ยาวขึ้น เพื่อเพิ่มความปลอดภัย แม้ว่ามาตรการนี้อาจจจะไม่สามารถป้องกันผู้โจมตีที่มีความสามารถสูงได้ก็ตาม
- Activated OWASP 942 rules บน Web Application Firewall (WAF)
รายการของ NVD สำหรับช่องโหว่หมายเลข CVE-2024-36680 ระบุว่าทุกเวอร์ชันตั้งแต่ 1.0.1 และเก่ากว่านั้นมีความเสี่ยง อย่างไรก็ตาม เวอร์ชันล่าสุดที่แสดงบนเว็บไซต์ของ Promokit คือ 1.0.0 ดังนั้นสถานะความพร้อมใช้งานของแพตช์จึงยังไม่ชัดเจน
แฮ็กเกอร์กำลังเฝ้าติดตามอย่างใกล้ชิดสำหรับช่องโหว่ SQL Injection ดังกล่าว เนื่องจากสามารถใช้โจมตีเพื่อเข้าถึงสิทธิ์ผู้ดูแลระบบ เพื่อเข้าถึง หรือแก้ไขข้อมูลบนเว็บไซต์, ขโมยข้อมูลในฐานข้อมูล และเขียนการตั้งค่า SMTP ใหม่ เพื่อเข้าถึงอีเมล
เมื่อประมาณ 2 ปีก่อน PrestaShop ได้ออกคำเตือน และออกแพตซ์เร่งด่วนสำหรับการโจมตีที่กำหนดเป้าหมายไปที่โมดูลที่เสี่ยงต่อ SQL Injection เพื่อนำไปสู่การเรียกใช้คำสั่งที่เป็นอันตรายบนเว็บไซต์
ที่มา : bleepingcomputer
You must be logged in to post a comment.