Įsilaužėliai naudojasi „PrestaShop“ skirto aukščiausios kokybės „Facebook“ modulio „pkfacebook“ trūkumu, kad įdiegtų kortelių skaitytuvą pažeidžiamose el. prekybos svetainėse ir pavogtų žmonių mokėjimo kredito kortelių duomenis.
PrestaShop yra atvirojo kodo elektroninės prekybos platforma, leidžianti asmenims ir įmonėms kurti ir valdyti internetines parduotuves. 2024 m. juo naudojasi maždaug 300 000 internetinių parduotuvių visame pasaulyje.
„Promokit“ pkfacebook priedas yra modulis, leidžiantis parduotuvės lankytojams prisijungti naudojant „Facebook“ paskyras, palikti komentarus po parduotuvės puslapiais ir bendrauti su palaikymo agentais naudojant „Messenger“.
„Promokit“ parduoda daugiau nei 12 500 „Envato“ rinkoje, tačiau „Facebook“ modulis parduodamas tik per pardavėjo svetainę, o pardavimo numerio informacijos nėra.
Kritinė klaida, pažymėta kaip CVE-2024-36680, yra SQL injekcijos pažeidžiamumas pkfacebook facebookConnect.php Ajax scenarijuje, leidžiantis nuotoliniams užpuolikams suaktyvinti SQL injekciją naudojant HTTP užklausas.
„TouchWeb“ analitikai trūkumą aptiko 2024 m. kovo 30 d., tačiau Promokit.eu teigė, kad trūkumas buvo ištaisytas „seniai“, nepateikdami jokių įrodymų.
Anksčiau šią savaitę „Friends of-Presta“ paskelbė CVE-2024-36680 koncepcijos įrodymą ir perspėjo, kad jie mato aktyvų klaidos išnaudojimą laukinėje gamtoje.
„Šis išnaudojimas aktyviai naudojamas žiniatinklio skimmeriui įdiegti, kad būtų galima masiškai pavogti kredito korteles“, – sako „Friends-Of-Presta“.
Deja, kūrėjai nepasidalijo naujausiu leidimu su „Friends of-Presta“, kad patvirtintų, ar klaida buvo ištaisyta.
„Friends-Of-Presta“ pažymi, kad visos versijos turėtų būti laikomos galinčiomis paveikti, ir rekomenduoja šiuos sušvelninimo būdus:
- Atnaujinkite į naujausią pkfacebook versiją, kuri išjungia kelių užklausų vykdymą, net jei ji neapsaugo nuo SQL įterpimo naudojant UNION sąlygą.
- Įsitikinkite, kad naudojamas pSQL, kad būtų išvengta saugomų XSS pažeidžiamumų, nes jame yra funkcija strip_tags, skirta papildomam saugumui.
- Pakeiskite numatytąjį „ps_“ priešdėlį į ilgesnį, savavališką, kad pagerintumėte saugumą, nors ši priemonė nėra patikima prieš aukštos kvalifikacijos užpuolikus.
- Suaktyvinkite OWASP 942 taisykles žiniatinklio programų užkardoje (WAF).
NVD sąraše, skirtame CVE-2024-36680, visos versijos nuo 1.0.1 ir senesnės versijos yra pažeidžiamos. Tačiau naujausia „Promokit“ svetainėje pateikta versija yra 1.0.0, todėl pataisos prieinamumo būsena neaiški.
Įsilaužėliai atidžiai stebi, ar nėra SQL įterpimo trūkumų, turinčių įtakos internetinių parduotuvių platformoms, nes jas galima naudoti norint gauti administratoriaus teises, pasiekti ar modifikuoti duomenis svetainėje, išgauti duomenų bazės turinį ir perrašyti SMTP nustatymus, kad būtų užgrobti el.
Maždaug prieš dvejus metus PrestaShop paskelbė skubų įspėjimą ir karštąsias pataisas dėl atakų, nukreiptų prieš modulius, pažeidžiamus SQL įpurškimui, siekiant kodo vykdymo tikslinėse svetainėse.
