Hackers exploram uma vulnerabilidade de dia 0 na plataforma de comércio eletrônico de código aberto PrestaShop e introduzem web skimmers em sites projetados para roubar informações confidenciais.
Última sexta-feira, o PrestaShop equipe emitiu um aviso urgente, instando os administradores do aproximadamente 300,000 lojas que usam o software para ficarem mais vigilantes em relação à segurança à medida que ataques foram descobertos visando a plataforma.
Deixe-me lembrá-lo de que também escrevemos isso Novo skimmer da web encontrado em Shopify, BigCommerce, Woocommerce e Zencart lojas, e também isso Lojas holandesas ficam sem queijo devido a um ataque de ransomware.
Aparentemente, os ataques afetaram a versão PrestaShop 1.6.0.10 ou mais tarde, bem como a versão 1.7.8.2 ou mais tarde, mas apenas ao executar um módulo vulnerável à injeção de SQL, por exemplo, Lista de Desejos 2.0.0-2.1.0.
Tipicamente, tais ataques começam com os hackers enviando uma solicitação POST para o endpoint vulnerável, seguido por uma solicitação GET sem parâmetros para a página inicial, que cria um arquivo blm.php no diretório raiz. Este arquivo é um web shell e permite que invasores executem comandos remotamente no servidor.
Em muitos casos, sabe-se que invasores usam esse web shell para injetar um formulário de pagamento falso na página de checkout (skimmer da web) e roubar detalhes do cartão de pagamento do cliente. Depois do ataque, os hackers cobriram seus rastros para que o proprietário do site não percebesse que o recurso havia sido hackeado.
Os desenvolvedores do PrestaShop dizem que vestígios de comprometimento ainda podem ser encontrados se os hackers não forem muito zelosos em destruir evidências. Por exemplo, vestígios de criminosos podem ser encontrados nos logs de acesso do servidor web, modificações de arquivo para adicionar código malicioso podem ser vistas, bem como a ativação do cache MySQL Smarty, que faz parte da cadeia de ataque. Este recurso está desabilitado por padrão, mas os pesquisadores dizem que os próprios hackers o ativaram e recomendam removê-lo completamente se não for necessário.
Todos os administradores de loja são aconselhados a instalar a atualização de segurança mais recente (Versão PrestaShop 1.7.8.7) O mais breve possível, bem como eles devem atualizar todos os módulos usados para as versões mais recentes.
Ao mesmo tempo, Os mantenedores do PrestaShop enfatizam que descobriram e corrigiram uma vulnerabilidade de dia zero na nova versão, mas eles “não podem ter certeza de que esta seja a única maneira de realizar ataques”. A vulnerabilidade descoberta recebeu o identificador CVE-2022-36408.
