PrestaShop团队上周五发出紧急警告称,黑客针对使用PrestaShop平台的网站,利用此前未知的漏洞链进行代码执行,很可能窃取客户付款信息。团队建议用户尽快对网站进行相关安全审查。该攻击影响PrestaShop1.6.0.10或更高版本以及1.7.8.2或更高版本,这些版本运行易受SQL注入攻击的模块,例如Wishlist2.0.0到2.1.0模块。攻击细节PrestaShop的团队尚未确定漏洞存在的位置,并警告说它们也可能是由第三方组件引起的。为执行攻击,攻击者向易受攻击的端点发送一个POST请求,然后向主页发送一个无参数的GET请求,在根目录中创建一个“blm.php”文件。blm.php文件似乎是一个webshell,它允许威胁参与者在服务器上远程执行命令。PrestaShop从许多观察到的案例中可以看出,攻击者利用这个webshell在商店的结账页面上注入了虚假的支付表单,并窃取了客户的支付卡信息。攻击结束后,攻击者会抹去攻击痕迹,以防止网站所有者意识到自己已被入侵。安全更新如果攻击者没有完全清除攻击证据,受攻击的网站管理员可以在Web服务器的访问日志中找到妥协的迹象,例如修改文件以附加恶意代码和激活MySQLSmarty缓存存储。该功能默认被禁用,但PrestaShop表示有证据表明黑客在攻击发生时独立启用了该功能,因此建议用户在不需要时删除该功能。为此,请在您的商店中找到文件“config/smarty.config.inc.php”并删除以下行。要从平台组件中删除的行最后,将所有使用的模块升级到最新的可用版本并应用最新发布的PrestaShop安全更新版本1.7.8.7。此安全修复程序增强了MySQLSmarty缓存存储,以防止那些希望继续使用旧功能的人受到所有代码注入攻击。但是,如果用户的网站遭到入侵,则此应用程序安全更新将无法解决问题。
