Hackers estão explorando uma falha em um módulo premium do Facebook para PrestaShop chamado pkfacebook para implantar um skimmer de cartão em sites de comércio eletrônico vulneráveis e roubar os detalhes dos cartões de crédito de pessoas.
O PrestaShop é uma plataforma de comércio eletrônico de código aberto que permite a indivíduos e empresas criar e gerenciar lojas online.
Até 2024, é utilizado por aproximadamente 300.000 lojas online em todo o mundo.
O add-on pkfacebook da Promokit é um módulo que permite aos visitantes da loja fazer login usando suas contas do Facebook, deixar comentários nas páginas da loja e se comunicar com agentes de suporte usando o Messenger.
A Promokit tem mais de 12.500 vendas no mercado Envato, mas o módulo do Facebook é vendido apenas através do site do fornecedor, e nenhum detalhe sobre o número de vendas está disponível.
A falha crítica, rastreada como
CVE-2024-36680
, é uma vulnerabilidade de SQL injection no script Ajax facebookConnect.php do pkfacebook, permitindo que atacantes remotos desencadeiem SQL injection usando requisições HTTP.
Analistas da TouchWeb descobriram a falha em 30 de março de 2024, mas a Promokit.eu afirmou que a falha foi corrigida "há muito tempo", sem fornecer qualquer prova.
No início desta semana, a Friends-of-Presta publicou um exploit de prova de conceito para o
CVE-2024-36680
e alertou que estão vendo a exploração ativa do bug na prática.
"Este exploit está sendo usado ativamente para implantar um skimmer web para roubar massivamente cartões de crédito", diz Friends-Of-Presta.
Infelizmente, os desenvolvedores não compartilharam a última versão com a Friends-of-Presta para confirmar se a falha foi corrigida.
Friends-Of-Presta observa que todas as versões devem ser consideradas potencialmente impactadas e recomenda as seguintes mitigações:
-Atualize para a última versão do pkfacebook, que desativa execuções de multiquery, mesmo que não proteja contra SQL injection usando a cláusula UNION.
-Garanta o uso do pSQL para evitar vulnerabilidades de Stored XSS, já que inclui uma função strip_tags para segurança adicional.
-Modifique o prefixo padrão “ps_” para um mais longo e arbitrário para melhorar a segurança, embora esta medida não seja infalível contra hackers altamente qualificados.
-Ative as regras OWASP 942 no Web Application Firewall (WAF).
A listagem do NVD para o
CVE-2024-36680
determina todas as versões de 1.0.1 e anteriores como vulneráveis.
No entanto, a última versão listada no site da Promokit é 1.0.0, então o status da disponibilidade da correção está incerto.
Hackers monitoram de perto por falhas de SQL injection que impactam plataformas de webshops, pois essas podem ser usadas para obter privilégios administrativos, acessar ou modificar dados no site, extrair conteúdos do banco de dados e reescrever as configurações de SMTP para sequestrar e-mails.
Cerca de dois anos atrás, o PrestaShop emitiu um aviso urgente e uma correção rápida contra ataques visando módulos vulneráveis a SQL injection para alcançar a execução de código em sites alvo.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...