ハッカーたちは、PrestaShop用のプレミアムFacebookモジュール「pkfacebook」の欠陥を悪用し、脆弱なEコマースサイトにカードスキマーを導入し、人々の決済用クレジットカード情報を盗んでいる。
PrestaShopは、個人や企業がオンラインストアを作成・管理できるオープンソースのeコマース・プラットフォームです。2024年現在、世界中で約30万のオンラインストアに利用されている。
Promokitのpkfacebookアドオンは、ショップの訪問者がFacebookアカウントを使ってログインしたり、ショップのページにコメントを残したり、メッセンジャーを使ってサポートエージェントとコミュニケーションしたりできるモジュールです。
PromokitはEnvatoマーケットで12,500以上の販売実績があるが、Facebookモジュールはベンダーのウェブサイトを通じてのみ販売されており、販売数の詳細は不明である。
CVE-2024-36680として追跡されている重大な欠陥は、pkfacebookのfacebookConnect.php AjaxスクリプトにSQLインジェクションの脆弱性があり、リモートの攻撃者がHTTPリクエストを使用してSQLインジェクションをトリガーすることができます。
TouchWebのアナリストは2024年3月30日にこの欠陥を発見したが、Promokit.euはこの欠陥は「ずっと前に」修正されたとしており、証拠は示していない。
今週初め、Friends-of-PrestaはCVE-2024-36680に対する概念実証のエクスプロイトを公開し、このバグを悪用する動きが活発化していると警告した。
Friends-Of-Prestaは、「このエクスプロイトは、クレジットカードを大量に盗むためにウェブスキマーを展開するために積極的に使用されています」と述べている。
残念ながら、欠陥が修正されたかどうかを確認するために、開発者は最新のリリースをFriends-of-Prestaと共有していない。
Friends-Of-Prestaは、すべてのバージョンが影響を受ける可能性があると考えるべきであると指摘し、以下の緩和策を推奨している:
- UNION句を使用したSQLインジェクションから保護されなくても、マルチクエリの実行を無効にする最新のpkfacebookバージョンにアップグレードすること。
- ストアドXSS脆弱性を回避するために、pSQLを確実に使用すること。pSQLにはセキュリティを強化するためのstrip_tags関数が含まれています。
- デフォルトの “ps_”接頭辞を任意の長いものに変更し、セキュリティを向上させる。
- ウェブ・アプリケーション・ファイアウォール(WAF)のOWASP 942ルールを有効にする。
NVDのCVE-2024-36680のリストでは、1.0.1以前のすべてのバージョンが脆弱であると判定されている。しかし、Promokitのサイトに掲載されている最新バージョンは1.0.0であるため、パッチの提供状況は不明である。
ハッカーは、ウェブショップ・プラットフォームに影響を及ぼすSQLインジェクションの欠陥を注意深く監視している。SQLインジェクションの欠陥は、管理者権限の取得、サイト上のデータへのアクセスや変更、データベースの内容の抽出、SMTP設定の書き換えによる電子メールの乗っ取りに使用される可能性があるからだ。
およそ2年前、PrestaShopは、SQLインジェクションに脆弱なモジュールを標的とし、標的のサイトでコードを実行する攻撃に対して緊急警告とホットフィックスを発表した。
Comments