零日攻击针对使用 PrestaShop 的在线商店

Thera 参与者正在利用零日漏洞从使用开源电子商务平台 PrestaShop 的网站窃取支付信息。

威胁者利用开源电子商务平台 PrestaShop 攻击网站，利用零日漏洞（CVE-2022-36408），该漏洞可以允许执行任意代码并可能窃取客户的支付信息。

PrestaShop目前被全球 300,000 家商店使用，并提供 60 种不同的语言版本。

该漏洞影响 PrestaShop 1.6.0.10 或更高版本以及 1.7.8.2 或更高版本运行易受 SQL 注入攻击的模块（即 Wishlist 2.0.0 至 2.1.0 模块）。

“维护团队已经意识到恶意行为者正在利用已知和未知安全漏洞的组合在 PrestaShop 网站中注入恶意代码，允许他们执行任意指令，并可能窃取客户的支付信息。” 阅读PrestaShop的维护人员发布的公告。“在调查这次攻击时，我们发现了一个我们正在修复的以前未知的漏洞链。”

威胁行为者的目标是运行过时软件或模块的在线商店，或受已知漏洞或零日漏洞影响的第三方模块。

以下是专家对攻击进行重构的攻击链：

1. 攻击者向易受 SQL 注入攻击的端点提交 POST 请求。
2. 大约一秒钟后，攻击者向主页提交了一个 GET 请求，没有任何参数。这会导致在商店目录的根目录下创建一个名为 blm.php 的 PHP 文件。
3. 攻击者现在向创建的新文件 blm.php 提交 GET 请求，允许他们执行任意指令。

一旦攻击者接管了在线商店，他们就会在前台结账页面上注入一个虚假的支付表格，以便在访客购物时窃取信用卡信息。

研究人员提供了这些攻击的危害指标，例如 MySQL Smarty 缓存存储的激活。

“请注意，在您的日志中没有发现这种模式并不一定意味着您的商店没有受到攻击的影响：漏洞利用的复杂性意味着有多种执行方法，攻击者也可能试图隐藏他们的轨道。” 报告结束。

管理员必须安装 PrestaShop版本 1.7.8.7。