PrestaShop のゼロデイ CVE-2022-36408 の悪用:オンラインストアから決済データを窃取

Hackers Exploit PrestaShop Zero-Day to Steal Payment Data from Online Stores

2022/07/25 TheHackerNews — 脅威アクターたちが、オープンソースの eコマース・プラットフォーム PrestaShop の未知の脆弱性を悪用し、機密情報の窃取を目的としたスキマー・コードを注入するという、悪質な攻撃を行っているようだ。7月22日に発表されたアドバイザリで PrestaShop は、「攻撃者は、PrestaShop を運用しているサーバー上で任意のコードを実行するために、セキュリティの脆弱性を悪用する方法を発見した」と説明している。


PrestaShop は、ヨーロッパや中南米で、主要なオープンソースの eコマース・ソリューションとして販売されており、世界中の約 30万社の オンラインストアで利用されている。

この攻撃の目的は、悪意のコードを注入することで、顧客が決済ページで入力した支払い情報を盗み取ることだ。古いバージョンのソフトウェアや、脆弱性のあるサードパーティー・モジュールを使用しているショップが、主なターゲットとなっているようだ。

また、PrestaShop のメンテナンス・チームは、このゼロデイ脆弱性にバージョン 1.7.8.7 で対処したと述べているが、「この脆弱性の悪用が、攻撃を実行する唯一の方法であるとは断言できない」と注意を喚起している。

さらに PrestaShop は、「このセキュリティ修正は、コード・インジェクション攻撃に対する、MySQL Smarty キャッシュ・ストレージを強化するものだ。このレガシー機能は、後方互換性の理由から維持されるが、将来の PrestaShop のバージョンからは削除される予定だ」と述べている。

この問題は、PrestaShop 1.6.0.10 以降に影響する、SQL インジェクションの脆弱性 CVE-2022-36408 として追跡されている。

この脆弱性の悪用に成功した攻撃者は、特別に細工されたリクエストを送信することで、任意のコマンドを実行する能力を取得する。それにより、決済ページに偽の支払いフォームを注入し、クレジットカード情報の収集が可能になる。

今回の攻撃は、レストランのオーダー・プラットフォームである MenuDrive/Harbortouch/InTouchPOS などが標的となり、少なくとも 311軒のレストランが Magecart 攻撃の波を受けていると思われる。

PrestaShop のゼロデイ脆弱性 CVE-2022-36408 ですが、お隣のキュレーションチームに聞いてみたところ、7月27日付でレポートをアップしているとのことでした。CVSSv3 値は Vuldb 評価の 6.3 ですが、NVD が追いつくと上がる可能性があるとも言っていました。なお、Magecart 攻撃ですが、2月9日に Magento 1 サイトへの襲撃に関する記事があり、2月14日には、そこで悪用された脆弱性 CVE-2022-24086 が FIX したという記事がありました。

%d bloggers like this: