해커들은 PrestaShop의 프리미엄 Facebook 모듈인 pkfacebook의 결함을 악용해 취약한 전자상거래 사이트에 카드 스키머를 설치하고 사람들의 지불 신용카드 정보를 훔치고 있습니다.
PrestaShop은 개인과 기업이 온라인 상점을 만들고 관리할 수 있는 오픈소스 전자상거래 플랫폼입니다. 2024년 현재 전 세계적으로 약 300,000개의 온라인 상점에서 사용되고 있습니다.
Promokit의 pkfacebook 애드온은 매장 방문자가 Facebook 계정을 사용하여 로그인하고, 매장 페이지에 댓글을 남기고, Messenger를 사용하여 고객 지원 담당자와 소통할 수 있는 모듈입니다.
Promokit은 Envato 시장에서 12,500건 이상의 판매를 기록했지만, Facebook 모듈은 공급업체의 웹사이트를 통해서만 판매되며 판매 수치에 대한 자세한 정보는 제공되지 않습니다.
CVE-2024-36680으로 추적된 이 심각한 결함은 pkfacebook의 facebookConnect.php Ajax 스크립트의 SQL 주입 취약점으로, 원격 공격자가 HTTP 요청을 사용하여 SQL 주입을 트리거할 수 있습니다.
TouchWeb의 분석가들은 2024년 3월 30일에 이 결함을 발견했지만, Promokit.eu는 아무런 증거도 제시하지 않은 채 결함이 “오래 전에” 수정되었다고 말했습니다.
이번 주 초, Friends-of-Presta는 CVE-2024-36680에 대한 개념 증명 익스플로잇을 공개했으며, 이 버그가 실제로 활발하게 악용되고 있다고 경고했습니다.
Friends-Of-Presta는 “이러한 악용 사례는 대량으로 신용카드 정보를 훔치기 위해 웹 스키머를 배포하는 데 적극적으로 사용되고 있습니다.”라고 말했습니다.
안타깝게도 개발자는 Friends-of-Presta에 최신 릴리스 버전을 공유하여 결함이 수정되었는지 확인하지 않았습니다.
Friends-Of-Presta는 모든 버전이 잠재적으로 영향을 받는 것으로 간주되어야 하며 다음과 같은 완화책을 권장합니다.
- UNION 절을 사용한 SQL 주입을 보호하지 못하더라도 다중 쿼리 실행을 비활성화하는 최신 pkfacebook 버전으로 업그레이드하세요.
- 저장된 XSS 취약점을 방지하려면 pSQL을 사용해야 합니다. pSQL에는 보안을 강화하기 위한 strip_tags 함수가 포함되어 있습니다.
- 보안을 강화하기 위해 기본 “ps_” 접두사를 더 길고 임의의 문자로 수정하지만, 이 조치는 기술이 뛰어난 공격자를 상대로는 완벽하지 않습니다.
- 웹 애플리케이션 방화벽(WAF)에서 OWASP 942 규칙을 활성화합니다.
NVD의 CVE-2024-36680 목록은 1.0.1 및 이전 버전의 모든 버전이 취약하다고 결정합니다. 그러나 Promokit 사이트에 나열된 최신 버전은 1.0.0이므로 패치 가용성 상태는 불분명합니다.
해커는 웹 상점 플랫폼에 영향을 미치는 SQL 주입 취약점을 주의 깊게 모니터링하고 있습니다. 이러한 취약점은 관리자 권한을 얻고, 사이트의 데이터에 액세스하거나 수정하고, 데이터베이스 내용을 추출하고, SMTP 설정을 다시 작성하여 이메일을 하이재킹하는 데 사용될 수 있기 때문입니다.
약 2년 전, PrestaShop은 대상 사이트에서 코드를 실행하기 위해 SQL 주입에 취약한 모듈을 표적으로 삼는 공격에 대한 긴급 경고 및 핫픽스를 발표했습니다.