โมดูล Facebook สำหรับ PrestaShop ถูกใช้เพื่อขโมยข้อมูลบัตรเครดิต
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
PrestaShop เป็นแพลตฟอร์ม Open-source e-commerce ที่ช่วยให้บุคคลและธุรกิจสามารถสร้างและจัดการร้านค้าออนไลน์ได้ ในปี 2024 มีการใช้งานร้านค้าออนไลน์ประมาณ 300,000 แห่งทั่วโลก และส่วนเสริมชื่อว่า pkfacebook ของ Promokit เป็นโมดูลที่ช่วยให้ผู้เยี่ยมชมร้านค้าเข้าสู่ระบบโดยใช้บัญชี Facebook แสดงความคิดเห็นใต้เพจของร้านค้า และสื่อสารกับตัวแทนฝ่ายสนับสนุนโดยใช้ Messenger
ช่องโหว่รุนแรงนี้ (Critical) ถูกติดตามโดยใช้หมายเลข CVE คือ CVE-2024-36680 คือช่องโหว่การแทรกคำสั่ง SQL (SQL injection) ในสคริปต์ facebookConnect.php Ajax ของ pkfacebook ทำให้ผู้โจมตีจากระยะไกลสามารถ SQL injection โดยใช้คำขอ HTTP ได้
นักวิเคราะห์ของ TouchWeb ค้นพบช่องโหว่ดังกล่าวเมื่อวันที่ 30 มีนาคม 2024 แต่ Promokit.eu กล่าวว่าช่องโหว่ดังกล่าวได้รับการแก้ไขนานมาแล้ว โดยไม่มีการการพิสูจน์ใดๆ และเมื่อต้นสัปดาห์ที่ผ่านมา Friends-of-Presta ได้ปล่อย Proof of Concept การโจมตีโดยอาศัยช่องโหว่สำหรับ CVE-2024-36680 และเตือนว่าพวกเขากำลังเห็นการโจมตีโดยอาศัยนี้ถูกใช้จริงแล้ว
อย่างไรก็ตาม ผู้พัฒนาไม่ได้แชร์เวอร์ชันล่าสุดกับ Friends-of-Presta เพื่อยืนยันว่าช่องโหว่ได้รับการแก้ไขหรือไม่
Friends-Of-Presta ได้ตั้งข้อสังเกตว่าทุกเวอร์ชันควรได้รับการพิจารณาว่าอาจได้รับผลกระทบ และแนะนำวิธีการบรรเทาผลกระทบต่อไปนี้:
- อัปเกรดเวอร์ชันของ pkfacebook ให้เป็นเวอร์ชันล่าสุด ซึ่งจะปิดใช้งานการดำเนินการแบบ Multiquery แม้ว่าจะไม่ป้องกัน SQL injection โดยใช้คำสั่งย่อย UNION ก็ตาม
- ตรวจสอบให้แน่ใจว่ามีการใช้ pSQL เพื่อหลีกเลี่ยงช่องโหว่ Stored XSS เนื่องจากสามารถเพิ่มความปลอดภัย จากฟังก์ชัน strip_tags
- แก้ไขคำนำหน้า "ps_" เริ่มต้นให้ยาวขึ้น เพื่อเพิ่มความปลอดภัยให้มากขึ้น แม้ว่ามาตรการนี้จะไม่สามารถป้องกันผู้โจมตีที่มีทักษะสูงได้ก็ตาม
- เปิดใช้งาน Rule OWASP 942 (REQUEST-942-APPLICATION-ATTACK-SQLI) บน Web Application Firewall (WAF)
NVD ได้ระบุว่า CVE-2024-36680 อาจส่งผลกระบท pkfacebook ทุกเวอร์ชันตั้งแต่ 1.0.1 และเก่ากว่านั้นมีความเสี่ยง อย่างไรก็ตาม เวอร์ชันล่าสุดที่แสดงบนเว็บไซต์ของ Promokit คือ 1.0.0 ดังนั้นสถานะความพร้อมใช้งานของแพตช์จึงไม่ชัดเจน
แฮกเกอร์ยังติดตามช่องโหว่ SQL injection อย่างใกล้ชิดซึ่งส่งผลกระทบต่อแพลตฟอร์มเว็บช็อป เนื่องจากสามารถทำให้แฮกเกอร์ได้สิทธิ์ผู้ดูแลระบบ เข้าถึงหรือแก้ไขข้อมูลบนเว็บไซต์ แยกเนื้อหาฐานข้อมูล และเขียนการตั้งค่า SMTP ใหม่เพื่อขโมลอีเมลได้
แหล่งอ้างอิง
- https://security.friendsofpresta.org/modules/2024/06/18/pkfacebook.html
- https://nvd.nist.gov/vuln/detail/CVE-2024-36680
