PrestaShop: usato modulo Facebook per rubare carte di credito

La falla del modulo PrestaShop di Facebook consente agli aggressori remoti di attivare l'SQL injection utilizzando richieste HTTP.Gli hacker stanno sfruttando una falla in un modulo Facebook premium per PrestaShop denominato pkfacebook per implementare uno skimmer di carte su siti di e-commerce vulnerabili e rubare i dettagli delle carte di credito dei pagamenti delle persone. PrestaShop è una piattaforma di e-commerce open source che consente a privati ​​e aziende di creare e gestire negozi online.

Nel 2024 è utilizzato da circa 300.000 negozi online in tutto il mondo. Il componente aggiuntivo pkfacebook di Promokit è un modulo che consente ai visitatori di accedere utilizzando i propri account Facebook. Questi possono anche lasciare commenti sotto le pagine del negozio e comunicare con l'assistenza utilizzando Messenger. Promokit ha oltre 12.500 vendite sul mercato Envato. Tuttavia, ma il modulo Facebook viene venduto solo tramite il sito web del venditore e non sono disponibili dettagli sul numero di vendita.

Il difetto critico, tracciato come CVE-2024-36680, è una vulnerabilità SQL injection nello script Ajax facebookConnect.php di pkfacebook. Questo consente agli aggressori remoti di attivare l'SQL injection utilizzando richieste HTTP. Gli analisti di TouchWeb hanno scoperto il difetto il 30 marzo 2024. Tuttavia, Promokit.eu ha affermato che il difetto è stato risolto "molto tempo fa", senza fornire alcuna prova. La settimana scorsa, Friends-of-Presta ha pubblicato un exploit proof-of-concept per CVE-2024-36680 e ha avvertito che stanno riscontrando uno sfruttamento attivo del bug in natura. Come riportato sul blog ufficiale: “Questo exploit viene utilizzato attivamente per implementare un web skimmer per rubare in massa carte di credito”. Sfortunatamente, gli sviluppatori non hanno condiviso l'ultima versione con Friends-of-Presta per confermare se il difetto è stato risolto.

PrestaShop: consigli utili per evitare problemi di sicurezza

Friends-Of-Presta rileva che tutte le versioni dovrebbero essere considerate come potenzialmente interessate e consiglia alcuni consigli utili. In primis aggiornare pkfacebook all'ultima versione. Questa disabilita le esecuzioni multiquery, anche se non protegge dall'SQL injection utilizzando la clausola UNION. Inoltre, assicurarsi che pSQL venga utilizzato per evitare le vulnerabilità XSS archiviate, poiché include una funzione strip_tags per una maggiore sicurezza. Inoltre, modificare il prefisso "ps_" predefinito con uno più lungo e arbitrario per migliorare la sicurezza. Infine, attivare le regole OWASP 942 sul Web Application Firewall (WAF).

L'elenco di NVD per CVE-2024-36680 determina che tutte le versioni dalla 1.0.1 in poi sono vulnerabili. Tuttavia, l'ultima versione elencata sul sito di Promokit è la 1.0.0, quindi lo stato di disponibilità della patch non è chiaro. Gli hacker monitorano attentamente i difetti di SQL injection che influiscono sulle piattaforme dei negozi online. Questi possono infatti essere utilizzati per ottenere privilegi amministrativi, accedere o modificare i dati sul sito, estrarre i contenuti del database e riscrivere le impostazioni SMTP per dirottare le e-mail. Circa due anni fa, PrestaShop ha emesso un avviso urgente e un hotfix contro gli attacchi mirati ai moduli vulnerabili all'iniezione SQL per ottenere l'esecuzione del codice sui siti presi di mira