Hackers στοχεύουν ιστοτόπους που χρησιμοποιούν την πλατφόρμα PrestaShop, εκμεταλλευόμενοι μία ευπάθεια που μέχρι τώρα ήταν άγνωστη, για την εκτέλεση κώδικα και πιθανώς για να κλέψουν πληροφορίες πληρωμής πελατών.
Δείτε επίσης: Chrome zero-day ευπάθεια χρησιμοποιήθηκε για τη μόλυνση δημοσιογράφων με spyware
Η ομάδα του PrestaShop εξέδωσε μια επείγουσα προειδοποίηση την περασμένη Παρασκευή, καλώντας τους διαχειριστές 300.000 καταστημάτων που χρησιμοποιούν το λογισμικό του να επανεξετάσουν τη στάση ασφαλείας τους μετά την ανακάλυψη κυβερνοεπιθέσεων που στόχευαν την πλατφόρμα.
Η επίθεση φαίνεται να επηρεάζει τις εκδόσεις του PrestaShop 1.6.0.10 ή νεότερες και τις εκδόσεις 1.7.8.2 ή νεότερες, εάν εκτελούν λειτουργικές μονάδες που είναι ευάλωτες σε SQL injections, όπως η λειτουργική μονάδα Wishlist 2.0.0 έως 2.1.0.
Η ευπάθεια που εκμεταλλεύεται ενεργά, παρακολουθείται ως CVE-2022-36408.
Η επίθεση ξεκινά στοχεύοντας μια λειτουργική μονάδα ή μια παλαιότερη έκδοση πλατφόρμας που είναι ευάλωτη σε εκμεταλλεύσεις έγχυσης SQL. Η ομάδα του PrestaShop δεν έχει προσδιορίσει πού υπάρχουν αυτά τα ελαττώματα αυτήν τη στιγμή και προειδοποίησε ότι η παραβίαση μπορεί να προκληθεί και από ένα στοιχείο τρίτου μέρους.
Δείτε ακόμα: CISA προς οργανισμούς: Διορθώστε άμεσα αυτή τη zero-day ευπάθεια
«Πιστεύουμε ότι οι εισβολείς στοχεύουν καταστήματα που χρησιμοποιούν απαρχαιωμένο λογισμικό ή λειτουργικές μονάδες, ευάλωτες λειτουργικές μονάδες τρίτων ή μια ευπάθεια που δεν έχει ακόμη ανακαλυφθεί», εξηγεί η συμβουλή ασφαλείας του PrestaShop.
Για να πραγματοποιήσουν την επίθεση, οι hackers στέλνουν ένα αίτημα POST σε ένα ευάλωτο τελικό σημείο ακολουθούμενο από ένα αίτημα GET χωρίς παραμέτρους στην αρχική σελίδα που δημιουργεί ένα αρχείο “blm.php” στον ριζικό κατάλογο.
Το αρχείο blm.php φαίνεται να είναι ένα κέλυφος ιστού που επιτρέπει στους παράγοντες απειλών να εκτελούν εντολές στον διακομιστή εξ αποστάσεως.
Σε πολλές περιπτώσεις, οι εισβολείς χρησιμοποίησαν αυτό το κέλυφος ιστού για να εισάγουν ένα ψεύτικο έντυπο πληρωμής στη σελίδα ταμείου του καταστήματος και να κλέψουν τα στοιχεία της κάρτας πληρωμής των πελατών.
Μετά την επίθεση, οι hackers σκούπισαν τα ίχνη τους για να εμποδίσουν τον ιδιοκτήτη του ιστότοπου να συνειδητοποιήσει ότι είχε παραβιαστεί.
Δείτε επίσης: Η Google διορθώνει σοβαρή zero-day ευπάθεια στον Chrome browser
Για να αποφύγετε μία τέτοιοα επίθεση, αναβαθμίστε όλες τις χρησιμοποιημένες μονάδες στην πιο πρόσφατη διαθέσιμη έκδοση και εφαρμόστε την ενημέρωση ασφαλείας του PrestaShop, έκδοση 1.7.8.7.
Αυτή η επιδιόρθωση ασφαλείας ενισχύει την αποθήκευση της κρυφής μνήμης MySQL Smarty έναντι όλων των επιθέσεων έγχυσης κώδικα, για όσους θέλουν να συνεχίσουν να χρησιμοποιούν τη δυνατότητα παλαιού τύπου. Ωστόσο, είναι σημαντικό να σημειωθεί ότι εάν ο ιστότοπός σας έχει ήδη παραβιαστεί, η εφαρμογή της ενημέρωσης ασφαλείας δεν θα επιλύσει το πρόβλημα.
