Хакеры используют уязвимость в опенсорсной платформе для электронной коммерции PrestaShop и внедряют на сайты веб-скиммеры, предназначенные для кражи конфиденциальной информации.
В прошлую пятницу команда PrestaShop выпустила срочное предупреждение, призвав администраторов примерно 300 000 магазинов, использующих это ПО, внимательнее относиться к безопасности, так как были обнаружены атаки, направленные на платформу.
Судя по всему, атаки затрагивали PrestaShop версии 1.6.0.10 или новее, а также версии 1.7.8.2 или новее, но лишь при условии запуска модуля, уязвимого для SQL-инъекций, например, Wishlist 2.0.0-2.1.0.
«Мы считаем, что злоумышленники атакуют магазины, используя устаревшее программное обеспечение и модули, уязвимые сторонние модули или некую еще необнаруженную уязвимость», — пишут специалисты.
Как правило, такие атаки начинаются с того, что хакеры отправляют POST-запрос уязвимому эндпоинту, за которым следует GET-запрос без параметров, обращенный к домашней странице, который создает файл blm.php в корневом каталоге. Этот файл представляет собой веб-шелл и позволяет злоумышленникам удаленно выполнять команды на сервере.
Известно, что во многих случаях злоумышленники использовали этот веб-шелл для внедрения поддельной платежной формы на страницу оформления заказа (веб-скиммер) и кражи данных платежных карт клиентов. После атаки хакеры заметали свои следы, чтобы владелец сайта не понял, что ресурс был взломан.
Разработчики PrestaShop говорят, что следы компрометации все же можно обнаружить, если хакеры не слишком усердствовали при уничтожении улик. К примеру, следы преступников можно обнаружить в журналах доступа веб-сервера, можно заметить модификации файлов для добавления вредоносного кода, а также активацию кэш-памяти MySQL Smarty, которая служит частью цепочки атак. Эта функция отключена по умолчанию, но исследователи говорят, что хакеры включали ее самостоятельно, и рекомендуют удалить ее вовсе, если она не нужна.
Всем администраторам магазинов рекомендуется как можно скорее установить свежее обновление безопасности (PrestaShop версии 1.7.8.7), а также обновить все используемые модули до последних версий.
При этом сопровождающие PrestaShop подчеркивают, что обнаружили и исправили в новой версии уязвимость нулевого дня, однако они «не могут быть уверены, что это единственный способ для проведения атак». Обнаруженная уязвимость получила идентификатор CVE-2022-36408.