零日攻擊針對使用 PrestaShop 的在線商店

Thera 參與者正在利用零日漏洞從使用開源電子商務平臺 PrestaShop 的網站竊取支付信息。

威脅者利用開源電子商務平臺 PrestaShop 攻擊網站，利用零日漏洞（CVE-2022-36408），該漏洞可以允許執行任意代碼并可能竊取客戶的支付信息。

PrestaShop目前被全球 300,000 家商店使用，并提供 60 種不同的語言版本。

該漏洞影響 PrestaShop 1.6.0.10 或更高版本以及 1.7.8.2 或更高版本運行易受 SQL 注入攻擊的模塊（即 Wishlist 2.0.0 至 2.1.0 模塊）。

“維護團隊已經意識到惡意行為者正在利用已知和未知安全漏洞的組合在 PrestaShop 網站中注入惡意代碼，允許他們執行任意指令，并可能竊取客戶的支付信息。” 閱讀PrestaShop的維護人員發布的公告。“在調查這次攻擊時，我們發現了一個我們正在修復的以前未知的漏洞鏈。”

威脅行為者的目標是運行過時軟件或模塊的在線商店，或受已知漏洞或零日漏洞影響的第三方模塊。

以下是專家對攻擊進行重構的攻擊鏈：

1. 攻擊者向易受 SQL 注入攻擊的端點提交 POST 請求。
2. 大約一秒鐘后，攻擊者向主頁提交了一個 GET 請求，沒有任何參數。這會導致在商店目錄的根目錄下創建一個名為 blm.php 的 PHP 文件。
3. 攻擊者現在向創建的新文件 blm.php 提交 GET 請求，允許他們執行任意指令。

一旦攻擊者接管了在線商店，他們就會在前臺結賬頁面上注入一個虛假的支付表格，以便在訪客購物時竊取信用卡信息。

研究人員提供了這些攻擊的危害指標，例如 MySQL Smarty 緩存存儲的激活。

“請注意，在您的日志中沒有發現這種模式并不一定意味著您的商店沒有受到攻擊的影響：漏洞利用的復雜性意味著有多種執行方法，攻擊者也可能試圖隱藏他們的軌道。” 報告結束。

管理員必須安裝 PrestaShop版本 1.7.8.7。