โมดูล Facebook สำหรับ PrestaShop ถูกใช้เพื่อขโมยข้อมูลบัตรเครดิต

แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน

PrestaShop เป็นแพลตฟอร์ม Open-source e-commerce ที่ช่วยให้บุคคลและธุรกิจสามารถสร้างและจัดการร้านค้าออนไลน์ได้ ในปี 2024 มีการใช้งานร้านค้าออนไลน์ประมาณ 300,000 แห่งทั่วโลก และส่วนเสริมชื่อว่า pkfacebook ของ Promokit เป็นโมดูลที่ช่วยให้ผู้เยี่ยมชมร้านค้าเข้าสู่ระบบโดยใช้บัญชี Facebook แสดงความคิดเห็นใต้เพจของร้านค้า และสื่อสารกับตัวแทนฝ่ายสนับสนุนโดยใช้ Messenger

ช่องโหว่รุนแรงนี้ (Critical) ถูกติดตามโดยใช้หมายเลข CVE คือ CVE-2024-36680 คือช่องโหว่การแทรกคำสั่ง SQL (SQL injection) ในสคริปต์ facebookConnect.php Ajax ของ pkfacebook ทำให้ผู้โจมตีจากระยะไกลสามารถ SQL injection โดยใช้คำขอ HTTP ได้

นักวิเคราะห์ของ TouchWeb ค้นพบช่องโหว่ดังกล่าวเมื่อวันที่ 30 มีนาคม 2024 แต่ Promokit.eu กล่าวว่าช่องโหว่ดังกล่าวได้รับการแก้ไขนานมาแล้ว โดยไม่มีการการพิสูจน์ใดๆ และเมื่อต้นสัปดาห์ที่ผ่านมา Friends-of-Presta ได้ปล่อย Proof of Concept การโจมตีโดยอาศัยช่องโหว่สำหรับ CVE-2024-36680 และเตือนว่าพวกเขากำลังเห็นการโจมตีโดยอาศัยนี้ถูกใช้จริงแล้ว

อย่างไรก็ตาม ผู้พัฒนาไม่ได้แชร์เวอร์ชันล่าสุดกับ Friends-of-Presta เพื่อยืนยันว่าช่องโหว่ได้รับการแก้ไขหรือไม่

Friends-Of-Presta ได้ตั้งข้อสังเกตว่าทุกเวอร์ชันควรได้รับการพิจารณาว่าอาจได้รับผลกระทบ และแนะนำวิธีการบรรเทาผลกระทบต่อไปนี้:

  • อัปเกรดเวอร์ชันของ pkfacebook ให้เป็นเวอร์ชันล่าสุด ซึ่งจะปิดใช้งานการดำเนินการแบบ Multiquery แม้ว่าจะไม่ป้องกัน SQL injection โดยใช้คำสั่งย่อย UNION ก็ตาม
  • ตรวจสอบให้แน่ใจว่ามีการใช้ pSQL เพื่อหลีกเลี่ยงช่องโหว่ Stored XSS เนื่องจากสามารถเพิ่มความปลอดภัย จากฟังก์ชัน strip_tags
  • แก้ไขคำนำหน้า "ps_" เริ่มต้นให้ยาวขึ้น เพื่อเพิ่มความปลอดภัยให้มากขึ้น แม้ว่ามาตรการนี้จะไม่สามารถป้องกันผู้โจมตีที่มีทักษะสูงได้ก็ตาม
  • เปิดใช้งาน Rule OWASP 942 (REQUEST-942-APPLICATION-ATTACK-SQLI) บน Web Application Firewall (WAF)

NVD ได้ระบุว่า CVE-2024-36680 อาจส่งผลกระบท pkfacebook ทุกเวอร์ชันตั้งแต่ 1.0.1 และเก่ากว่านั้นมีความเสี่ยง อย่างไรก็ตาม เวอร์ชันล่าสุดที่แสดงบนเว็บไซต์ของ Promokit คือ 1.0.0 ดังนั้นสถานะความพร้อมใช้งานของแพตช์จึงไม่ชัดเจน

แฮกเกอร์ยังติดตามช่องโหว่ SQL injection อย่างใกล้ชิดซึ่งส่งผลกระทบต่อแพลตฟอร์มเว็บช็อป เนื่องจากสามารถทำให้แฮกเกอร์ได้สิทธิ์ผู้ดูแลระบบ เข้าถึงหรือแก้ไขข้อมูลบนเว็บไซต์ แยกเนื้อหาฐานข้อมูล และเขียนการตั้งค่า SMTP ใหม่เพื่อขโมลอีเมลได้

แหล่งอ้างอิง

Related Posts

โมดูล Facebook สำหรับ PrestaShop ถูกใช้เพื่อขโมยข้อมูลบัตรเครดิต

แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน

Read more

อาชญากรไซเบอร์ใช้ Stack Overflow ในการแพร่กระจาย Malware

นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว

Read more

Google ปล่อยแพตช์แก้ไขช่องโหว่ Zero-Day บน Browser Chrome

Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว

Read more