CDIC 2023
Credit: rangizzz/ShutterStock

100,000 ร้านค้าออนไลน์เสี่ยงต่อการถูกโจมตีช่องโหว่บน Magento

Ars Technica เว็บไซต์ IT ชื่อดัง ระบุ มีการค้นพบช่องโหว่ร้ายแรงบน Magento ระบบบริหารจัดการเนื้อหา (Content Management System; CMS) สำหรับเว็บไซต์ E-Commerce ซึ่งอาจเสี่ยงถูกแฮ็คเกอร์โจมตีเพื่อขโมยข้อมูลลูกค้าและข้อมูลบัตรเครดิตได้

เกือบ 100,000 ร้านค้าออนไลน์ตกเป็นเป้าหมาย

ช่องโหว่นี้ (SUPEE-5344) ได้ถูกค้นพบโดยทีมนักวิจัยของ Check Point และถูกแจ้งเตือนไปยัง eBay ผู้พัฒนาระบบ CMS ดังกล่าว ซึ่งก็ได้ทำการออกแพทช์เพื่ออุดช่องโหว่นี้เป็นที่เรียบร้อยเมื่อเดือนกุมภาพันธ์ 2015 ที่ผ่านมา อย่างไรก็ตาม ยังมีร้านค้าออนไลน์มากกว่า 98,000 เว็บไซต์ที่ยังไม่ได้อัพเดทแพทช์ดังกล่าว

สามารถเข้าควบคุมเว็บไซต์และฐานข้อมูล

SUPEE-5344 เป็นการเจาะระบบผ่านหลายช่องโหว่ซุ่งช่วยให้แฮ็คเกอร์สามารถรันคำสั่ง PHP บนเว็บเซิฟเวอร์ได้โดยไม่ต้องพิสูจน์ตัวตน แฮ็คเกอร์สามารถบายพาสระบบป้องกันความปลอดภัยและเข้าควบคุมเว็บไซต์รวมทั้งระบบฐานข้อมูลได้อย่างสมบูรณ์ ส่งผลให้สามารถขโมยข้อมูลบัตรเครดิตและเข้าถึงข้อมูลสำคัญอื่นๆได้

ช่องโหว่นี้ไม่ได้ถูกจำกัดเพียงแค่ Plugin หรือ Theme อันใดอันหนึ่ง แต่เป็นช่องโหว่บนโค้ดหลักของ Magento ซึ่งส่งผลกระทบต่อการใช้งานทั้ง Community และ Enterprise Editions

พบการสร้าง admin ปลอมบนฐานข้อมูล และเปลี่ยนราคาสินค้า

ทางเว็บไซต์ Sucuri ระบุว่า หลังจากที่ Check Point ได้เปิดผายรายละเอียดเชิงเทคนิคเมื่อต้นสัปดาห์ที่ผ่านมา ทำให้ค้นพบความพยายามในการโจมตีช่องโหว่นี้มากมาย หนึ่งในนั้นคือการสร้างชื่อ admin ปลอมขึ้นบนระบบฐานข้อมูลของ Magento เพื่อที่แฮ็คเกอร์จะได้เข้าควบคุมเว็บไซต์และฐานข้อมูลในการโจมตีแบบอื่นๆต่อไปได้ เช่น ส่งโค้ดเข้าไปในเว็บไซต์เพื่อเปลี่ยนราคาสินค้า หรือสร้างคูปองส่วนลดให้ตนเองสามารถสั่งสินค้าได้ในราคาถูก เป็นต้น

ผู้ที่ใช้งาน Magento อยู่ สามารถอัพเดทแพทช์เพื่ออุดช่องโหว่ SUPEE-5344 ได้ที่ https://www.magentocommerce.com/products/downloads/magento/

รายละเอียดเพิ่มเติม: http://blog.checkpoint.com/2015/04/20/analyzing-magento-vulnerability/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ยกระดับบริการขององค์กรอย่างมั่นใจด้วย HPE Aruba Networking SASE โดย ยิบอินซอย

HPE Aruba Networking นำเสนอ Unified SASE ที่รวมเอาความสามารถของเทคโนโลยี SD-WAN และ SSE เข้าไว้ด้วยกัน เพื่อความง่ายดายในการบริหารจัดการ SD-WAN, Routing, WAN Optimization ตลอดจนการบังคับใช้นโยบายความปลอดภัยได้แบบ end-to-end เพื่อให้การทำงานของแอปพลิเคชันมีประสิทธิภาพสูงขึ้น มั่นคงปลอดภัย ลดต้นทุน และพร้อมให้บริการเสมอ

Microsoft แพตช์แก้ไขช่องโหว่เร่งด่วน 2 รายการให้ Edge, Teams และ Skype

Microsoft ได้แก้ไขช่องโหว่ Heap Buffer Overflow 2 รายการอย่างเร่งด่วนในไลบรารีที่ผลิตภัณฑ์ของตนเกี่ยวข้อง ทั้งนี้มีรายงานพบว่าช่องโหว่ได้ถูกนำไปใช้โจมตีจริงแล้ว