Bilgisayar korsanları, PrestaShop’un pkfacebook adlı premium Facebook modülündeki bir kusurdan yararlanarak savunmasız e-ticaret sitelerine bir kart skimmer yerleştiriyor ve insanların ödeme kredi kartı ayrıntılarını çalıyor.
PrestaShop, bireylerin ve işletmelerin çevrimiçi mağazalar oluşturmasına ve yönetmesine olanak tanıyan açık kaynaklı bir e-ticaret platformudur. 2024 yılı itibariyle dünya çapında yaklaşık 300.000 online mağaza tarafından kullanılmaktadır.
Promokit’in pkfacebook eklentisi, mağaza ziyaretçilerinin Facebook hesaplarını kullanarak giriş yapmalarına, mağaza sayfaları altına yorum bırakmalarına ve Messenger kullanarak destek temsilcileriyle iletişim kurmalarına olanak tanıyan bir modüldür.
Promokit’in Envato pazarında 12.500’den fazla satışı var, ancak Facebook modülü yalnızca satıcının web sitesi üzerinden satılıyor ve satış numarası ayrıntıları mevcut değil.
CVE-2024-36680 olarak takip edilen kritik kusur, pkfacebook’un facebookConnect.php Ajax betiğinde bulunan ve uzaktaki saldırganların HTTP isteklerini kullanarak SQL enjeksiyonunu tetiklemesine olanak tanıyan bir SQL enjeksiyon güvenlik açığıdır.
TouchWeb’deki analistler kusuru 30 Mart 2024’te keşfettiler, ancak Promokit.eu herhangi bir kanıt sunmadan kusurun “uzun zaman önce” düzeltildiğini söyledi.
Bu haftanın başlarında Friends-of-Presta, CVE-2024-36680 için bir kavram kanıtlama istismarı yayınladı ve hatanın doğada aktif olarak kullanıldığını gördükleri konusunda uyardı.
Friends-Of-Presta, “Bu istismar, kredi kartlarını büyük ölçüde çalmak için bir web skimmer’ı dağıtmak için aktif olarak kullanılıyor” diyor.
Maalesef geliştiriciler, kusurun düzeltilip düzeltilmediğini doğrulamak için en son sürümü Friends-of-Presta ile paylaşmadı.
Friends-Of-Presta, tüm sürümlerin potansiyel olarak etkilenmiş olarak değerlendirilmesi gerektiğini belirtiyor ve aşağıdaki azaltıcı önlemleri öneriyor:
- UNION cümleciği kullanılarak SQL enjeksiyonuna karşı koruma sağlamasa bile çoklu sorgu yürütmelerini devre dışı bırakan pkfacebook’un en son sürümüne yükseltin.
- Ek güvenlik için strip_tags işlevi içerdiğinden, Stored XSS güvenlik açıklarından kaçınmak için pSQL’in kullanıldığından emin olun.
- Güvenliği artırmak için varsayılan “ps_” önekini daha uzun ve isteğe bağlı bir önek ile değiştirin, ancak bu önlem yüksek vasıflı saldırganlara karşı kusursuz değildir.
- Web Uygulaması Güvenlik Duvarı’nda (WAF) OWASP 942 kurallarını etkinleştirin.
NVD’nin CVE-2024-36680 listesi, 1.0.1 ve daha eski tüm sürümlerin savunmasız olduğunu tespit ediyor. Ancak Promokit’in sitesinde listelenen en son sürüm 1.0.0 olduğundan yamanın kullanılabilirlik durumu belirsiz.
Bilgisayar korsanları, web mağazası platformlarını etkileyen SQL enjeksiyon kusurlarını yakından izler; çünkü bunlar, yönetici ayrıcalıkları elde etmek, sitedeki verilere erişmek veya bunları değiştirmek, veritabanı içeriklerini çıkarmak ve e-postaları ele geçirmek için SMTP ayarlarını yeniden yazmak için kullanılabilir.
Yaklaşık iki yıl önce PrestaShop, hedeflenen sitelerde kod yürütmeyi sağlamak için SQL enjeksiyonuna karşı savunmasız modülleri hedef alan saldırılara karşı acil bir uyarı ve düzeltme yayınladı.