แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
PrestaShop เป็นแพลตฟอร์ม Open-source e-commerce ที่ช่วยให้บุคคลและธุรกิจสามารถสร้างและจัดการร้านค้าออนไลน์ได้ ในปี 2024 มีการใช้งานร้านค้าออนไลน์ประมาณ 300,000 แห่งทั่วโลก และส่วนเสริมชื่อว่า pkfacebook ของ Promokit เป็นโมดูลที่ช่วยให้ผู้เยี่ยมชมร้านค้าเข้าสู่ระบบโดยใช้บัญชี Facebook แสดงความคิดเห็นใต้เพจของร้านค้า และสื่อสารกับตัวแทนฝ่ายสนับสนุนโดยใช้ Messenger
ช่องโหว่รุนแรงนี้ (Critical) ถูกติดตามโดยใช้หมายเลข CVE คือ CVE-2024-36680 คือช่องโหว่การแทรกคำสั่ง SQL (SQL injection) ในสคริปต์ facebookConnect.php Ajax ของ pkfacebook ทำให้ผู้โจมตีจากระยะไกลสามารถ SQL injection โดยใช้คำขอ HTTP ได้
นักวิเคราะห์ของ TouchWeb ค้นพบช่องโหว่ดังกล่าวเมื่อวันที่ 30 มีนาคม 2024 แต่ Promokit.eu กล่าวว่าช่องโหว่ดังกล่าวได้รับการแก้ไขนานมาแล้ว โดยไม่มีการการพิสูจน์ใดๆ และเมื่อต้นสัปดาห์ที่ผ่านมา Friends-of-Presta ได้ปล่อย Proof of Concept การโจมตีโดยอาศัยช่องโหว่สำหรับ CVE-2024-36680 และเตือนว่าพวกเขากำลังเห็นการโจมตีโดยอาศัยนี้ถูกใช้จริงแล้ว
อย่างไรก็ตาม ผู้พัฒนาไม่ได้แชร์เวอร์ชันล่าสุดกับ Friends-of-Presta เพื่อยืนยันว่าช่องโหว่ได้รับการแก้ไขหรือไม่
Friends-Of-Presta ได้ตั้งข้อสังเกตว่าทุกเวอร์ชันควรได้รับการพิจารณาว่าอาจได้รับผลกระทบ และแนะนำวิธีการบรรเทาผลกระทบต่อไปนี้:
NVD ได้ระบุว่า CVE-2024-36680 อาจส่งผลกระบท pkfacebook ทุกเวอร์ชันตั้งแต่ 1.0.1 และเก่ากว่านั้นมีความเสี่ยง อย่างไรก็ตาม เวอร์ชันล่าสุดที่แสดงบนเว็บไซต์ของ Promokit คือ 1.0.0 ดังนั้นสถานะความพร้อมใช้งานของแพตช์จึงไม่ชัดเจน
แฮกเกอร์ยังติดตามช่องโหว่ SQL injection อย่างใกล้ชิดซึ่งส่งผลกระทบต่อแพลตฟอร์มเว็บช็อป เนื่องจากสามารถทำให้แฮกเกอร์ได้สิทธิ์ผู้ดูแลระบบ เข้าถึงหรือแก้ไขข้อมูลบนเว็บไซต์ แยกเนื้อหาฐานข้อมูล และเขียนการตั้งค่า SMTP ใหม่เพื่อขโมลอีเมลได้
แหล่งอ้างอิง
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว