黑客利用PrestaShop漏洞攻击网店，窃取支付信息

近日，威胁行为者利用零日漏洞（CVE-2022-36408），攻击使用PrestaShop平台的网店。据悉，该漏洞允许执行任意代码，并可能窃取客户的支付信息。因此，PrestaShop团队建议用户尽快对网站进行相关安全审查，并应用最新发布的PrestaShop 安全更新。

漏洞影响

该漏洞影响 PrestaShop 1.6.0.10 或更高版本，以及 1.7.8.2 或更高版本，这些版本运行易受 SQL 注入的模块（即 Wishlist 2.0.0 至 2.1.0 模块）。

攻击细节

PrestaShop的团队表示，威胁行为者的目标是运行过时软件或模块的在线商店，或者已知漏洞或零日漏洞影响的第三方模块。以下是专家对攻击进行重构的攻击链：

1. 攻击者向易受 SQL 注入攻击的端点提交 POST 请求。
2. 大约一秒钟后，攻击者向主页提交了一个 GET 请求，没有任何参数。这会导致在商店目录的根目录下创建一个名为 blm.php 的 PHP 文件。
3. 攻击者现在向创建的新文件 blm.php 提交 GET 请求，允许他们执行任意指令。

攻击者接管网店后，就会在网店结账页面上注入一个虚假的支付表格，以便在访客购物时窃取信用卡信息。为了防止网站所有者意识到他们被入侵，攻击者在攻击结束后，就会擦掉他们攻击的痕迹。

如果攻击者没有完全清理掉攻击证据，网站管理员能够在网络服务器的访问日志中找到被入侵的迹象。例如：激活MySQL Smarty缓存存储和改文件以附加恶意代码。

该功能默认是禁用的，但PrestaShop表示已经有黑客在攻击时独立启用它的证据，所以建议用户在不需要的情况下删除该功能。找到文件 "config/smarty.config.inc.php "在您的商店和删除以下行。

安全更新

PrestaShop目前被全球 300,000 家商店使用，并提供 60 种不同的语言版本，如果攻击者利用该漏洞攻击，那么影响非常广泛。为了防止攻击者利用该漏洞进行攻击，造成不必要的损失。建议将所有使用的模块升级到最新的可用版本，并安装最新的PrestaShop版本 1.7.8.7。