PrestaShop团队上周五发出紧急警告,有黑客正在针对使用PrestaShop平台的网站,利用以前未知的漏洞链进行代码执行,并很有可能在窃取客户的支付信息。该团队建议用户尽快对网站进行相关安全审查。
该攻击影响到的版本有PrestaShop 1.6.0.10或更高版本,以及1.7.8.2或更高版本,这些版本运行了容易受到SQL注入的模块,如Wishlist 2.0.0至2.1.0模块。
攻击细节
PrestaShop的团队目前还没有确定这些漏洞存在的位置,并警告说,这些漏洞可能也是由第三方组件造成的。
为了进行攻击,攻击者向一个易受攻击的端点发送POST请求,然后向主页发送一个无参数的GET请求,在根目录下创建一个 "blm.php "文件。blm.php文件似乎是一个网络外壳,允许威胁者在服务器上远程执行命令。
PrestaShop从许多观察到的案例中发现,攻击者使用这个网络外壳在商店的结账页面上注入一个虚假的支付表单,并窃取客户的支付卡信息。攻击结束后,攻击者会擦去他们的攻击痕迹,以防止网站所有者意识到他们被入侵。
安全更新
如果攻击者没有完全清理掉攻击证据的话,被攻击的网站管理员能够在网络服务器的访问日志中找到被入侵的迹象,例如改文件以附加恶意代码和激活MySQL Smarty缓存存储。
该功能默认是禁用的,但PrestaShop表示已经有黑客在攻击时独立启用它的证据,所以建议用户在不需要的情况下删除该功能。
要做到这一点,找到文件 "config/smarty.config.inc.php "在您的商店和删除以下行。
要从平台组件中删除的行
最后,将所有使用的模块升级到最新的可用版本,并应用最新发布的 PrestaShop 安全更新,版本 1.7.8.7。这个安全修复加强了MySQL Smarty缓存存储,防止所有的代码注入攻击,对于那些想继续使用的传统功能。然而如果用户的网站已经被入侵,那么这次的应用安全更新并不能补救这个问题。
