一、威胁行为者利用PrestaShop中的0day漏洞(7.29)
网络犯罪分子以使用PrestaShop平台的电子商务网站为目标,窃取客户的支付信息。他们正在滥用以前未知的漏洞链来执行恶意代码。
详细情况
几天前,PrestaShop团队发布警告,要求,家使用其软件的商店的管理员在发现针对该平台的网络攻击后检查他们的安全状况。
·如果它们运行暴露于SQL注入的模块,则攻击针对PrestaShop版本1.6.0.10或更高版本。1.7.8.2及以上版本的用户没有风险,但是如果他们运行任何暴露于SQL注入攻击的模块(例如Wishlist2.0.0到2.1.0),他们可能会受到影响。
·被滥用的漏洞被跟踪为CVE--。成功利用该漏洞会导致在运行PrestaShop网站的服务器上执行任意代码。
作案手法
攻击首先针对易受SQL注入攻击的旧平台版本。
·为了执行攻击,攻击者向暴露的端点发送POST请求,并向主页发送无参数的GET请求,并在根目录中创建一个blm[.]php文件。
·blm[.]php是一个允许攻击者在目标服务器上运行远程命令的webshell。这个webshell被用来在商店的结账页面上注入一个假的支付表单。
·此外,攻击者还可能在网站上的任何位置植入恶意代码。
攻击后清理
·攻击后,远程攻击者会删除他们的痕迹,从而阻止网站所有者知道他们被入侵了。
·如果攻击者未能清除他们的踪迹,站点管理员可能会在web服务器的访问日志中找到入侵迹象的条目。
·另一个标志是MySQLSmarty缓存存储功能的激活。
保持安全
确保PrestaShop网站和所有模块都使用最新更新或安全补丁进行了修补。这可以防止数字商店暴露于已知的和积极利用的SQL注入缺陷。
此外,专家建议在发布补丁之前禁用MySQLSmarty缓存存储功能。
参考链接