พบการโจมตีของกลุ่ม Magecart แบบ Zero-day ในส่วนเสริมจาก Third-Party บน Magento

มีการพบช่องโหว่ Zero-day จากปลั๊กอินอีคอมเมิร์ชของ Third-Party มากกว่า 20 รายการบน Magento เวอร์ชั่นล่าสุด ซึ่งมีการคาดว่าผู้ที่อยู่เบื้องหลังเหตุการณ์ในครั้งนี้คือ “กลุ่ม Magecart ”

ที่ปรึกษาด้านความปลอดภัย Willem de Groot ได้พบการโจมตีนี้เมื่อวันอังคารที่ผ่านมา พบว่า HAcker ได้ใช้เทคนิคการโจมตีแบบ PHP Object Injection (POI) โดยใช้ฟังก์ชัน unserialize() ของ PHP เพื่อแทรกโค้ด PHP ที่เป็นอันตรายลงบนเว็บไซต์ ทำให้ Hacker สามารถเปลี่ยนแปลงแก้ไขฐานข้อมูล หรือไฟล์ Javascript ได้ ฟังก์ชันที่ใช้เป็นช่องโหว่มาที่สุดคือ json_decode () ใน patch 8788

อันที่จริงแล้วก่อนหน้านี้กลุ่ม Magecart ได้ตั้งเป้าการโจมตีไปที่ส่วนกลางของ Magento โดยใช้การโจมตีแบบต่างๆ เช่น การถอดรหัส password โดยผ่านทาง front-end ของระบบเพื่อเข้าสู่เว็บไซต์อีคอมเมิร์ชต่างๆ ซึ่งในตอนนี้กลุ่ม Hacker เหล่านี้ได้มีการเปลี่ยนแปลงรูปแบบการโจมตีโดยใช้ช่องโหว่ PHP ซึ่งมาจากการพัฒนาปลั๊กอินของ Third-Party

หนึ่งในฟังก์ชันเหง่านี้ได้แก่ Aheadworks ซึ่งเป็นฟังก์ชันในการสร้างโค้ดคูปอง ในตอนนี้มีผู้ติดตั้งไปแล้วกว่า 250,000 กว่าครั้งจากร้านค้าทั้งหมด 50,000 กว่าร้านค้า ซึ่งทาง Aheadworks ได้ปล่อยแพทช์แก้ไขออกมาในวันพฤหัสบดีนี้

ในการนี้ทาง de Groot ได้ให้คำแนะนำว่า ผู้ดูแลระบบควรปิดใช้งานส่วนเสริมที่คาดว่าจะเป็นช่องโหว่และคอยตรวจดู Log เสมอ

ที่มา Threat Post