Black Hat Asia 2023
Credit: rangizzz/ShutterStock

100,000 ร้านค้าออนไลน์เสี่ยงต่อการถูกโจมตีช่องโหว่บน Magento

Ars Technica เว็บไซต์ IT ชื่อดัง ระบุ มีการค้นพบช่องโหว่ร้ายแรงบน Magento ระบบบริหารจัดการเนื้อหา (Content Management System; CMS) สำหรับเว็บไซต์ E-Commerce ซึ่งอาจเสี่ยงถูกแฮ็คเกอร์โจมตีเพื่อขโมยข้อมูลลูกค้าและข้อมูลบัตรเครดิตได้

เกือบ 100,000 ร้านค้าออนไลน์ตกเป็นเป้าหมาย

ช่องโหว่นี้ (SUPEE-5344) ได้ถูกค้นพบโดยทีมนักวิจัยของ Check Point และถูกแจ้งเตือนไปยัง eBay ผู้พัฒนาระบบ CMS ดังกล่าว ซึ่งก็ได้ทำการออกแพทช์เพื่ออุดช่องโหว่นี้เป็นที่เรียบร้อยเมื่อเดือนกุมภาพันธ์ 2015 ที่ผ่านมา อย่างไรก็ตาม ยังมีร้านค้าออนไลน์มากกว่า 98,000 เว็บไซต์ที่ยังไม่ได้อัพเดทแพทช์ดังกล่าว

สามารถเข้าควบคุมเว็บไซต์และฐานข้อมูล

SUPEE-5344 เป็นการเจาะระบบผ่านหลายช่องโหว่ซุ่งช่วยให้แฮ็คเกอร์สามารถรันคำสั่ง PHP บนเว็บเซิฟเวอร์ได้โดยไม่ต้องพิสูจน์ตัวตน แฮ็คเกอร์สามารถบายพาสระบบป้องกันความปลอดภัยและเข้าควบคุมเว็บไซต์รวมทั้งระบบฐานข้อมูลได้อย่างสมบูรณ์ ส่งผลให้สามารถขโมยข้อมูลบัตรเครดิตและเข้าถึงข้อมูลสำคัญอื่นๆได้

ช่องโหว่นี้ไม่ได้ถูกจำกัดเพียงแค่ Plugin หรือ Theme อันใดอันหนึ่ง แต่เป็นช่องโหว่บนโค้ดหลักของ Magento ซึ่งส่งผลกระทบต่อการใช้งานทั้ง Community และ Enterprise Editions

พบการสร้าง admin ปลอมบนฐานข้อมูล และเปลี่ยนราคาสินค้า

ทางเว็บไซต์ Sucuri ระบุว่า หลังจากที่ Check Point ได้เปิดผายรายละเอียดเชิงเทคนิคเมื่อต้นสัปดาห์ที่ผ่านมา ทำให้ค้นพบความพยายามในการโจมตีช่องโหว่นี้มากมาย หนึ่งในนั้นคือการสร้างชื่อ admin ปลอมขึ้นบนระบบฐานข้อมูลของ Magento เพื่อที่แฮ็คเกอร์จะได้เข้าควบคุมเว็บไซต์และฐานข้อมูลในการโจมตีแบบอื่นๆต่อไปได้ เช่น ส่งโค้ดเข้าไปในเว็บไซต์เพื่อเปลี่ยนราคาสินค้า หรือสร้างคูปองส่วนลดให้ตนเองสามารถสั่งสินค้าได้ในราคาถูก เป็นต้น

ผู้ที่ใช้งาน Magento อยู่ สามารถอัพเดทแพทช์เพื่ออุดช่องโหว่ SUPEE-5344 ได้ที่ https://www.magentocommerce.com/products/downloads/magento/

รายละเอียดเพิ่มเติม: http://blog.checkpoint.com/2015/04/20/analyzing-magento-vulnerability/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

“ฟรอสต์ แอนด์ ซัลลิแวน” ยกโซลูชัน Fraud Protection ของ Group-IB เป็นโซลูชันที่สมบูรณ์แบบที่สุดในตลาด [Guest Post]

Group-IB ผู้นำด้านการรักษาความปลอดภัยทางไซเบอร์ระดับโลก ซึ่งมีสำนักงานใหญ่ในสิงคโปร์ มีความภูมิใจในการประกาศว่า แพลตฟอร์ม Fraud Protection ของบริษัทฯ ได้รับการยอมรับจากบริษัทวิจัยและที่ปรึกษาระดับโลกอย่างฟรอสต์ แอนด์ ซัลลิแวน (Frost & Sullivan) ว่าเป็นโซลูชันป้องกันการฉ้อโกงที่สมบูรณ์แบบที่สุดในตลาดปัจจุบัน ฟรอสต์ แอนด์ ซัลลิแวน …

ขอเชิญร่วมงานสัมมนา “IBM Automation and Data&AI Power by Computer Union” [25 เมษายน 2566]

IBM และ Computer Union ขอเชิญ End User ทุกท่านเข้าร่วมงานสัมมนาในหัวข้อ “IBM Automation and Data&AI Powered by Computer …