SUSE by Ingram
Credit: rangizzz/ShutterStock

100,000 ร้านค้าออนไลน์เสี่ยงต่อการถูกโจมตีช่องโหว่บน Magento

Ars Technica เว็บไซต์ IT ชื่อดัง ระบุ มีการค้นพบช่องโหว่ร้ายแรงบน Magento ระบบบริหารจัดการเนื้อหา (Content Management System; CMS) สำหรับเว็บไซต์ E-Commerce ซึ่งอาจเสี่ยงถูกแฮ็คเกอร์โจมตีเพื่อขโมยข้อมูลลูกค้าและข้อมูลบัตรเครดิตได้

เกือบ 100,000 ร้านค้าออนไลน์ตกเป็นเป้าหมาย

ช่องโหว่นี้ (SUPEE-5344) ได้ถูกค้นพบโดยทีมนักวิจัยของ Check Point และถูกแจ้งเตือนไปยัง eBay ผู้พัฒนาระบบ CMS ดังกล่าว ซึ่งก็ได้ทำการออกแพทช์เพื่ออุดช่องโหว่นี้เป็นที่เรียบร้อยเมื่อเดือนกุมภาพันธ์ 2015 ที่ผ่านมา อย่างไรก็ตาม ยังมีร้านค้าออนไลน์มากกว่า 98,000 เว็บไซต์ที่ยังไม่ได้อัพเดทแพทช์ดังกล่าว

สามารถเข้าควบคุมเว็บไซต์และฐานข้อมูล

SUPEE-5344 เป็นการเจาะระบบผ่านหลายช่องโหว่ซุ่งช่วยให้แฮ็คเกอร์สามารถรันคำสั่ง PHP บนเว็บเซิฟเวอร์ได้โดยไม่ต้องพิสูจน์ตัวตน แฮ็คเกอร์สามารถบายพาสระบบป้องกันความปลอดภัยและเข้าควบคุมเว็บไซต์รวมทั้งระบบฐานข้อมูลได้อย่างสมบูรณ์ ส่งผลให้สามารถขโมยข้อมูลบัตรเครดิตและเข้าถึงข้อมูลสำคัญอื่นๆได้

ช่องโหว่นี้ไม่ได้ถูกจำกัดเพียงแค่ Plugin หรือ Theme อันใดอันหนึ่ง แต่เป็นช่องโหว่บนโค้ดหลักของ Magento ซึ่งส่งผลกระทบต่อการใช้งานทั้ง Community และ Enterprise Editions

พบการสร้าง admin ปลอมบนฐานข้อมูล และเปลี่ยนราคาสินค้า

ทางเว็บไซต์ Sucuri ระบุว่า หลังจากที่ Check Point ได้เปิดผายรายละเอียดเชิงเทคนิคเมื่อต้นสัปดาห์ที่ผ่านมา ทำให้ค้นพบความพยายามในการโจมตีช่องโหว่นี้มากมาย หนึ่งในนั้นคือการสร้างชื่อ admin ปลอมขึ้นบนระบบฐานข้อมูลของ Magento เพื่อที่แฮ็คเกอร์จะได้เข้าควบคุมเว็บไซต์และฐานข้อมูลในการโจมตีแบบอื่นๆต่อไปได้ เช่น ส่งโค้ดเข้าไปในเว็บไซต์เพื่อเปลี่ยนราคาสินค้า หรือสร้างคูปองส่วนลดให้ตนเองสามารถสั่งสินค้าได้ในราคาถูก เป็นต้น

ผู้ที่ใช้งาน Magento อยู่ สามารถอัพเดทแพทช์เพื่ออุดช่องโหว่ SUPEE-5344 ได้ที่ https://www.magentocommerce.com/products/downloads/magento/

รายละเอียดเพิ่มเติม: http://blog.checkpoint.com/2015/04/20/analyzing-magento-vulnerability/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco เผยแผนเข้าซื้อกิจการ Dashbase เสริมความสามารถ AppDynamics ติดตามวิเคราะห์ข้อมูล Real-Time Communication

Cisco ได้ออกมาเผยถึงเจตนาในการเข้าซื้อกิจการของ Dashbase ผู้พัฒนาโซลูชันวิเคราะห์ทราฟฟิกสำหรับระบบ Voice, Video และ Chat โดยเฉพาะ เพื่อนำความสามารถของ Dashbase ไปเสริมให้กับ Cisco AppDynamics โดยเฉพาะ

Cisco เผยแผนพัฒนา Co-Packaged Optics ความเร็ว 800Gbps ที่ประหยัดพลังงาน คาดพร้อมใช้งานได้ปี 2024

Cisco ได้ออกมาเผยถึงความร่วมมือกับ Inphi ในการพัฒนา Co-Packaged Optics (CPO) สำหรับใช้ใน Switch รุ่นที่รองรับความเร็ว 51.2Tbps ในอนาคตซึ่งจะมี Interface 800Gbps แบบ Pluggable โดยคาดว่าการพัฒนานี้จะแล้วเสร็จและพร้อมนำเทคโนโลยีออกสู่ตลาดได้ในปี 2024