Des pirates informatiques exploitent une faille dans un module Facebook premium pour PrestaShop nommé pkfacebook pour déployer un skimmer de carte sur des sites de commerce électronique vulnérables et voler les détails de la carte de crédit de paiement des gens.
PrestaShop est une plateforme de commerce électronique open source qui permet aux particuliers et aux entreprises de créer et de gérer des boutiques en ligne. En 2024, il est utilisé par environ 300 000 boutiques en ligne dans le monde.
Le module complémentaire pkfacebook de Promokit est un module qui permet aux visiteurs de la boutique de se connecter en utilisant leurs comptes Facebook, de laisser des commentaires sous les pages de la boutique et de communiquer avec les agents d’assistance à l’aide de Messenger.
Promokit a plus de 12 500 ventes sur le marché Envato, mais le module Facebook n’est vendu que sur le site Web du fournisseur et aucun détail sur le nombre de ventes n’est disponible.
La faille critique, identifiée comme CVE-2024-36680, est une vulnérabilité d’injection SQL dans facebookConnect de pkfacebook.script php Ajax, permettant aux attaquants distants de déclencher une injection SQL à l’aide de requêtes HTTP.
Les analystes de TouchWeb ont découvert la faille le 30 mars 2024, mais Promokit.eu il a déclaré que la faille avait été corrigée « il y a longtemps », sans fournir aucune preuve.
Plus tôt cette semaine, Friends-of-Presta a publié un exploit de validation de principe pour CVE-2024-36680 et a averti qu’ils voyaient une exploitation active du bogue dans la nature.
« Cet exploit est activement utilisé pour déployer un skimmer Web pour voler massivement des cartes de crédit », explique Friends-Of-Presta.
Malheureusement, les développeurs n’ont pas partagé la dernière version avec Friends-of-Presta pour confirmer si la faille a été corrigée.
Friends-Of-Presta note que toutes les versions doivent être considérées comme potentiellement affectées et recommande les mesures d’atténuation suivantes:
- Passez à la dernière version pk facebook, qui désactive les exécutions de requêtes multiples, même si elle ne protège pas contre l’injection SQL à l’aide de la clause UNION.
- Assurez-vous que pSQL est utilisé pour éviter les vulnérabilités XSS stockées, car il inclut une fonction strip_tags pour plus de sécurité.
- Modifiez le préfixe par défaut « ps_ » en un préfixe plus long et arbitraire pour améliorer la sécurité, bien que cette mesure ne soit pas infaillible contre les attaquants hautement qualifiés.
- Activez les règles OWASP 942 sur le pare-feu d’application Web (WAF).
La liste de NVD pour CVE-2024-36680 détermine que toutes les versions de 1.0.1 et antérieures sont vulnérables. Cependant, la dernière version répertoriée sur le site Promokit est 1.0.0, donc l’état de disponibilité des correctifs n’est pas clair.
Les pirates surveillent de près les failles d’injection SQL affectant les plates-formes de boutique en ligne, car elles peuvent être utilisées pour obtenir des privilèges administratifs, accéder ou modifier des données sur le site, extraire le contenu de la base de données et réécrire les paramètres SMTP pour détourner les e-mails.
Il y a environ deux ans, PrestaShop a émis un avertissement urgent et un correctif contre les attaques ciblant les modules vulnérables à l’injection SQL pour obtenir l’exécution de code sur les sites ciblés.