PrestaShop モジュール pkfacebook の脆弱性 CVE-2024-36680:クレカ情報の窃取で悪用

Facebook PrestaShop module exploited to steal credit cards

2024/06/23 BleepingComputer — PrestaShop 用のプレミアム Facebook モジュールである、pkfacebook の脆弱性を悪用するハッカーが、脆弱なeコマースサイトにカード・スキマーを展開し、ユーザーの決済用クレジットカード情報を盗んでいることが判明した。PrestaShop は、オンライン・ストアの作成/管理のための、オープンソースのeコマース・プラットフォームである。2024年現在において、個人や企業を問わず、世界中で約 300,000 件のオンライン・ストアに利用されている。


Promokit の pkfacebook は、PrestaShop アドオンであり、Facebook ユーザーに対して利便性を提供するモジュールである。たとえば、ショップの訪問者に対して、Facebook アカウントでのログイン/ショップのページへのコメント/Messenger を介したサポート・エージェントとのやり取りなどを提供している。

Promokit は、Envato マーケットにおいて、12,500以上の販売実績を有している。しかし Facebook モジュールの販売は、ベンダーの Web サイトを通じてのみ行われているため、その詳細は不明である。

攻撃者による悪用が確認された脆弱性 CVE-2024-36680 は、pkfacebook の facebookConnect.php Ajax スクリプトに存在する、SQL インジェクションの欠陥である。この脆弱性の悪用に成功したリモートの攻撃者は、HTTP リクエストを介して、SQL インジェクションのトリガーを可能にする。

この脆弱性は、2024年3月30日の時点で、TouchWeb のアナリストたちにより発見された。この脆弱性は、ずっと前に修正されたと、Promokit.eu は主張しているが、その証拠は提示されていない。2024年6月18日に、Friends-of-Presta は、この脆弱性の悪用が活発化していると警告し、さらに PoC エクスプロイトを公開した。

Friends-Of-Presta によると、この脆弱性は、「クレジットカードを大量に盗むための、Web スキマーを展開するために積極的に悪用されている」という。残念ながら、開発元のベンダーからは、脆弱性が修正されたかどうかを確認するための情報は提供されていない。

Friends-Of-Presta は、すべてのバージョンに影響を受ける可能性があるとし、以下の緩和策を推奨している:

  • pkfacebook の最新バージョンにアップグレードする:UNION 句を使用した SQL インジェクションからは保護されなくても、マルチクエリの実行を無効化できる。
  • pSQL が使用されていることを確認する:pSQL には、セキュリティ強化のための strip_tags 関数が含まれている。蓄積型 XSS 攻撃を防ぐために、pSQL が使用されているかどうかを確認する。
  • 接頭辞を変更する:デフォルトの “ps_” 接頭辞を、任意の長いものに変更し、セキュリティを向上させる。ただし、この対策は高度なスキルを持つ攻撃者に対して、必ずしも有効ではない点に注意が必要だ。
  • WAF (Web Application Firewall) の設定:WAF の OWASP 942 ルールを有効化する。

NVD によると、脆弱性 CVE-2024-36680 は、pkfacebook 1.0.1 以下の全てのバージョンに影響するようだ。しかし、Promokit のサイトに掲載されている最新バージョンは 1.0.0 であり、パッチの提供状況は不明となっている。

脅威アクターたちは、Web ショップ・プラットフォームに影響を及ぼす、SQL インジェクションの脆弱性に目を光らせている。なぜなら、SQL インジェクションの脆弱性を悪用することが可能になれば、管理者権限の取得/サイト上のデータへのアクセスや変更/データベースの内容の抽出/SMTP 設定の書き換えによるEメールの乗っ取りなどを、達成する可能性が生じるからだ。

2022年7月にも PrestaShop は、SQL インジェクションを狙った攻撃に対する緊急警告とホット・フィックスを発表している。

この脆弱性とインシデントに関しては、2024/06/20 の「PrestaShop Facebook モジュールの脆弱性 CVE-2024-36680:SQLi 攻撃が発生」で、すでにお伝えしており、被ってしまったポストになります。何人かのメンバーで作業していますので、時折、こうしたことが起きてしまいます。よろしければ、カテゴリ Retail を、ご利用ください。