هکرها از نقص یک ماژول پریمیوم در Facebook برای قرار دادن یک اسکیمر در PrestaShop سایت های آنلاین و سرقت اطلاعات کارت اعتباری افراد استفاده کردند.
PrestaShop یک پلتفرم تجارت الکترونیک منبع باز است که به افراد و کسب و کارها امکان ایجاد و مدیریت فروشگاه های آنلاین را می دهد. از سال ۲۰۲۴، تقریباً ۳۰۰۰۰۰ فروشگاه آنلاین در سراسر جهان از آن استفاده می کنند.
افزونه pkfacebook Promokit ماژولی است که به بازدیدکنندگان فروشگاه اجازه میدهد با استفاده از حسابهای Facebook خود وارد شوند، نظرات خود را در زیر صفحات فروشگاه بگذارند و با استفاده از مسنجر با عوامل پشتیبانی ارتباط برقرار کنند.
Promokit بیش از ۱۲۵۰۰ فروش در بازار Envato دارد، اما ماژول Facebook فقط از طریق وب سایت فروشنده فروخته می شود و جزئیات شماره فروش در دسترس نیست.
نقص مهم که به عنوان CVE-2024-36680 شناخته می شود، یک آسیب پذیری تزریق SQL در اسکریپت facebookConnect.php Ajax pkfacebook است که به مهاجمان راه دور اجازه می دهد تا با استفاده از درخواست های HTTP، تزریق SQL را راه اندازی کنند.
تحلیلگران TouchWeb این نقص را در ۳۰ مارس ۲۰۲۴ کشف کردند، اما Promokit.eu تاکید کرد که این آسیب پذیری مدت ها قبل بدون ارائه هیچ مدرکی برطرف شده است.
در اوایل این هفته، Friends-of-Presta یک PoC برای CVE-2024-36680 منتشر کرد و هشدار داد که آنها شاهد بهره برداری فعال از این آسیب پذیری در دنیای واقعی هستند.
Friends-Of-Presta تاکید کرد که : این آسیب پذیری فعال برای استقرار یک اسکیمر وب برای سرقت گسترده کارت های اعتباری استفاده می شود.
در حال حاضر توسعه دهندگان آخرین نسخه را با Friends-of-Presta به اشتراک نگذارند تا تأیید شود که آیا این نقص برطرف شده است یا خیر.
Friends-Of-Presta خاطرنشان کرد که همه نسخه ها باید اقدامات زیر را در جهت امن سازی انجام دهند :
- از آخرین نسخه pkfacebook استفاده کنید، که امکان کوئری زدن را غیرفعال می کند
- اطمینان حاصل کنید که از pSQL برای جلوگیری از آسیب پذیری Stored XSS استفاده می شود، زیرا شامل یک تابع strip_tags برای امنیت بیشتر است.
- حتما prefix پیش فرض “ps_” را با یک prefix طولانی تر و دلخواه تغییر دهید تا امنیت را تا حدودی بالا ببرید، هر چند این روش ۱۰۰ درصد امن نیست .
- قوانین(Rules) OWASP 942 را در فایروال برنامه وب (WAF) فعال کنید.
فهرست NVD برای CVE-2024-36680 همه نسخههای ۱٫۰٫۱ و بالاتر را آسیبپذیر میداند. با این حال، آخرین نسخه فهرست شده در سایت Promokit 1.0.0 است، بنابراین وضعیت در دسترس بودن پچ نامشخص است.
هکرها با دقت کامل آسیب پذیری های SQL را که بر پلتفرمهای فروشگاه اینترنتی تأثیر میگذارند نظارت میکنند، زیرا میتوان از آنها برای به دست آوردن امتیازات مدیریتی، دسترسی یا تغییر دادههای سایت، استخراج محتوای پایگاه داده و بازنویسی تنظیمات SMTP برای ربودن ایمیلها استفاده کرد.
تقریباً دو سال پیش، PrestaShop یک هشدار فوری و رفع فوری در برابر حملاتی که ماژولهای آسیبپذیر در برابر تزریق SQL را هدف قرار میدهند برای دستیابی به اجرای کد در سایتهای هدف صادر کرد.