Οι χάκερ στοχεύουν ιστοτόπους χρησιμοποιώντας την πλατφόρμα PrestaShop, αξιοποιώντας μια αλυσίδα ευπάθειας που μέχρι τώρα ήταν άγνωστη για την εκτέλεση κώδικα και πιθανώς να κλέψουν πληροφορίες πληρωμής πελατών.
Η ομάδα του PrestaShop εξέδωσε μια επείγουσα προειδοποίηση την περασμένη Παρασκευή, καλώντας τους διαχειριστές 300.000 καταστημάτων που χρησιμοποιούν το λογισμικό του να επανεξετάσουν τη στάση ασφαλείας τους μετά την ανακάλυψη κυβερνοεπιθέσεων που στόχευαν την πλατφόρμα.
Η επίθεση φαίνεται να επηρεάζει τις εκδόσεις του PrestaShop 1.6.0.10 ή νεότερες και τις εκδόσεις 1.7.8.2 ή νεότερες, εάν εκτελούν λειτουργικές μονάδες που είναι ευάλωτες σε ένεση SQL, όπως η λειτουργική μονάδα Wishlist 2.0.0 έως 2.1.0.
Η ευπάθεια που εκμεταλλεύεται ενεργά παρακολουθείται με το αναγνωριστικό CVE-2022-36408.
Λεπτομέρειες επίθεσης
Η επίθεση ξεκινά στοχεύοντας μια λειτουργική μονάδα ή μια παλαιότερη έκδοση πλατφόρμας που είναι ευάλωτη σε εκμεταλλεύσεις έγχυσης SQL. Η ομάδα του PrestaShop δεν έχει προσδιορίσει πού υπάρχουν αυτά τα ελαττώματα αυτήν τη στιγμή και προειδοποίησε ότι ο συμβιβασμός μπορεί να προκληθεί και από ένα στοιχείο τρίτου μέρους.
«Πιστεύουμε ότι οι επιτιθέμενοι στοχεύουν καταστήματα χρησιμοποιώντας απαρχαιωμένο λογισμικό ή λειτουργικές μονάδες, ευάλωτες λειτουργικές μονάδες τρίτων ή ευπάθεια που δεν έχει ακόμη ανακαλυφθεί», εξηγεί η συμβουλή ασφαλείας του PrestaShop.
Για να πραγματοποιήσουν την επίθεση, οι χάκερ στέλνουν ένα αίτημα POST σε ένα ευάλωτο τελικό σημείο ακολουθούμενο από ένα αίτημα GET χωρίς παραμέτρους στην αρχική σελίδα που δημιουργεί ένα αρχείο “blm.php” στον ριζικό κατάλογο.
Το αρχείο blm.php φαίνεται να είναι ένα κέλυφος ιστού που επιτρέπει στους παράγοντες απειλών να εκτελούν εντολές στον διακομιστή εξ αποστάσεως.
Σε πολλές περιπτώσεις που παρατηρήθηκαν, οι εισβολείς χρησιμοποίησαν αυτό το κέλυφος ιστού για να εισάγουν ένα ψεύτικο έντυπο πληρωμής στη σελίδα ταμείου του καταστήματος και να κλέψουν τα στοιχεία της κάρτας πληρωμής των πελατών.
Μετά την επίθεση, οι ηθοποιοί της απομακρυσμένης απειλής σκούπισαν τα ίχνη τους για να εμποδίσουν τον ιδιοκτήτη του ιστότοπου να συνειδητοποιήσει ότι είχαν παραβιαστεί.