Credit: rangizzz/ShutterStock

100,000 ร้านค้าออนไลน์เสี่ยงต่อการถูกโจมตีช่องโหว่บน Magento

Ars Technica เว็บไซต์ IT ชื่อดัง ระบุ มีการค้นพบช่องโหว่ร้ายแรงบน Magento ระบบบริหารจัดการเนื้อหา (Content Management System; CMS) สำหรับเว็บไซต์ E-Commerce ซึ่งอาจเสี่ยงถูกแฮ็คเกอร์โจมตีเพื่อขโมยข้อมูลลูกค้าและข้อมูลบัตรเครดิตได้

เกือบ 100,000 ร้านค้าออนไลน์ตกเป็นเป้าหมาย

ช่องโหว่นี้ (SUPEE-5344) ได้ถูกค้นพบโดยทีมนักวิจัยของ Check Point และถูกแจ้งเตือนไปยัง eBay ผู้พัฒนาระบบ CMS ดังกล่าว ซึ่งก็ได้ทำการออกแพทช์เพื่ออุดช่องโหว่นี้เป็นที่เรียบร้อยเมื่อเดือนกุมภาพันธ์ 2015 ที่ผ่านมา อย่างไรก็ตาม ยังมีร้านค้าออนไลน์มากกว่า 98,000 เว็บไซต์ที่ยังไม่ได้อัพเดทแพทช์ดังกล่าว

สามารถเข้าควบคุมเว็บไซต์และฐานข้อมูล

SUPEE-5344 เป็นการเจาะระบบผ่านหลายช่องโหว่ซุ่งช่วยให้แฮ็คเกอร์สามารถรันคำสั่ง PHP บนเว็บเซิฟเวอร์ได้โดยไม่ต้องพิสูจน์ตัวตน แฮ็คเกอร์สามารถบายพาสระบบป้องกันความปลอดภัยและเข้าควบคุมเว็บไซต์รวมทั้งระบบฐานข้อมูลได้อย่างสมบูรณ์ ส่งผลให้สามารถขโมยข้อมูลบัตรเครดิตและเข้าถึงข้อมูลสำคัญอื่นๆได้

ช่องโหว่นี้ไม่ได้ถูกจำกัดเพียงแค่ Plugin หรือ Theme อันใดอันหนึ่ง แต่เป็นช่องโหว่บนโค้ดหลักของ Magento ซึ่งส่งผลกระทบต่อการใช้งานทั้ง Community และ Enterprise Editions

พบการสร้าง admin ปลอมบนฐานข้อมูล และเปลี่ยนราคาสินค้า

ทางเว็บไซต์ Sucuri ระบุว่า หลังจากที่ Check Point ได้เปิดผายรายละเอียดเชิงเทคนิคเมื่อต้นสัปดาห์ที่ผ่านมา ทำให้ค้นพบความพยายามในการโจมตีช่องโหว่นี้มากมาย หนึ่งในนั้นคือการสร้างชื่อ admin ปลอมขึ้นบนระบบฐานข้อมูลของ Magento เพื่อที่แฮ็คเกอร์จะได้เข้าควบคุมเว็บไซต์และฐานข้อมูลในการโจมตีแบบอื่นๆต่อไปได้ เช่น ส่งโค้ดเข้าไปในเว็บไซต์เพื่อเปลี่ยนราคาสินค้า หรือสร้างคูปองส่วนลดให้ตนเองสามารถสั่งสินค้าได้ในราคาถูก เป็นต้น

ผู้ที่ใช้งาน Magento อยู่ สามารถอัพเดทแพทช์เพื่ออุดช่องโหว่ SUPEE-5344 ได้ที่ https://www.magentocommerce.com/products/downloads/magento/

รายละเอียดเพิ่มเติม: http://blog.checkpoint.com/2015/04/20/analyzing-magento-vulnerability/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ยิบอินซอย เปิดพื้นที่โลกแห่งปัญญาประดิษฐ์ “YIP IN TSOI สวัสดี AI 2024” สัมผัสการทำงานของ AI เทคโนโลยีแห่งอนาคต [PR]

เมื่อเร็วๆ นี้ บริษัท ยิบอินซอย จำกัด ได้จัดงาน “YIP IN TSOI สวัสดี AI 2024” ขึ้น ณ ศูนย์ …

จัดตั้งออฟฟิศพร้อมใช้งานได้ทันที ด้วยโซลูชัน DaaS จาก TrueBusiness

หากคุณกำลังมองหาระบบออฟฟิศที่ให้ความยืดหยุ่นตอบโจทย์ความคล่องตัวเชื่อแน่ว่าหนึ่งในคำค้นหาที่ต้องปรากฎขึ้นมาก็คือ Virtual Desktop Infrastructure(VDI), Desktop as a Service(DaaS) และการเช่าใช้คอมพิวเตอร์ ในบทความนี้เราขอแนะนำทางเลือกจาก TrueBusiness ในโซลูชัน DaaS มาติดตามข้อมูลที่น่าสนใจกัน