TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Ars Technica เว็บไซต์ IT ชื่อดัง ระบุ มีการค้นพบช่องโหว่ร้ายแรงบน Magento ระบบบริหารจัดการเนื้อหา (Content Management System; CMS) สำหรับเว็บไซต์ E-Commerce ซึ่งอาจเสี่ยงถูกแฮ็คเกอร์โจมตีเพื่อขโมยข้อมูลลูกค้าและข้อมูลบัตรเครดิตได้
เกือบ 100,000 ร้านค้าออนไลน์ตกเป็นเป้าหมาย
ช่องโหว่นี้ (SUPEE-5344) ได้ถูกค้นพบโดยทีมนักวิจัยของ Check Point และถูกแจ้งเตือนไปยัง eBay ผู้พัฒนาระบบ CMS ดังกล่าว ซึ่งก็ได้ทำการออกแพทช์เพื่ออุดช่องโหว่นี้เป็นที่เรียบร้อยเมื่อเดือนกุมภาพันธ์ 2015 ที่ผ่านมา อย่างไรก็ตาม ยังมีร้านค้าออนไลน์มากกว่า 98,000 เว็บไซต์ที่ยังไม่ได้อัพเดทแพทช์ดังกล่าว
สามารถเข้าควบคุมเว็บไซต์และฐานข้อมูล
SUPEE-5344 เป็นการเจาะระบบผ่านหลายช่องโหว่ซุ่งช่วยให้แฮ็คเกอร์สามารถรันคำสั่ง PHP บนเว็บเซิฟเวอร์ได้โดยไม่ต้องพิสูจน์ตัวตน แฮ็คเกอร์สามารถบายพาสระบบป้องกันความปลอดภัยและเข้าควบคุมเว็บไซต์รวมทั้งระบบฐานข้อมูลได้อย่างสมบูรณ์ ส่งผลให้สามารถขโมยข้อมูลบัตรเครดิตและเข้าถึงข้อมูลสำคัญอื่นๆได้
ช่องโหว่นี้ไม่ได้ถูกจำกัดเพียงแค่ Plugin หรือ Theme อันใดอันหนึ่ง แต่เป็นช่องโหว่บนโค้ดหลักของ Magento ซึ่งส่งผลกระทบต่อการใช้งานทั้ง Community และ Enterprise Editions
พบการสร้าง admin ปลอมบนฐานข้อมูล และเปลี่ยนราคาสินค้า
ทางเว็บไซต์ Sucuri ระบุว่า หลังจากที่ Check Point ได้เปิดผายรายละเอียดเชิงเทคนิคเมื่อต้นสัปดาห์ที่ผ่านมา ทำให้ค้นพบความพยายามในการโจมตีช่องโหว่นี้มากมาย หนึ่งในนั้นคือการสร้างชื่อ admin ปลอมขึ้นบนระบบฐานข้อมูลของ Magento เพื่อที่แฮ็คเกอร์จะได้เข้าควบคุมเว็บไซต์และฐานข้อมูลในการโจมตีแบบอื่นๆต่อไปได้ เช่น ส่งโค้ดเข้าไปในเว็บไซต์เพื่อเปลี่ยนราคาสินค้า หรือสร้างคูปองส่วนลดให้ตนเองสามารถสั่งสินค้าได้ในราคาถูก เป็นต้น
ผู้ที่ใช้งาน Magento อยู่ สามารถอัพเดทแพทช์เพื่ออุดช่องโหว่ SUPEE-5344 ได้ที่ https://www.magentocommerce.com/products/downloads/magento/
รายละเอียดเพิ่มเติม: http://blog.checkpoint.com/2015/04/20/analyzing-magento-vulnerability/
