우리 보안 연구원들은 최근 OpenCart Database Hacked에 대한 이메일을 보내 수천 개의 OpenCart 사이트를 감염시키고 사용자의 민감한 정보를 훔치는 것을 목표로 하는 진행중인 해킹 캠페인을 발견했습니다. 진행중인 캠페인은 OpenCart 모듈에 존재하는 SQLi 취약점과 해당 사이트에 설치된 패치되지 않은 확장을 활용하여 궁극적으로 취약점을 악용하고 고객 데이터베이스를 훔칩니다.
이 캠페인에서 위협 행위자는 사이트 소유자에게 이메일을 보내 데이터베이스가 해킹당했음을 알리고 이러한 취약점을 수정하기 위한 서비스를 제공합니다.
Ananda가 이끄는 우리 연구팀은 8월 초부터 OpenCart 플랫폼에서 실행되는 많은 전자 상거래 사이트를 손상시킨 이 캠페인을 모니터링했습니다. 그러나 이번 주에는 이 캠페인 활동이 급증했으며 데이터베이스에 대해 불평하는 OpenCart 사이트 소유자도 해킹당하고 있습니다.
해커는 어떻게 OpenCart 데이터베이스에 액세스할 수 있습니까?
사용된 도구:
이 진행 중인 캠페인을 분석하는 동안 우리 연구원들은 공격자가 SQLmap 도구를 사용하여 전자 상거래 플랫폼에 존재하는 보안 문제와 잘못된 구성을 식별하는 것을 관찰했습니다.
SQLmap은 입력 매개변수를 식별하고 입력 필드에 쿼리를 삽입하려고 시도하는 자동화된 취약점 검색 도구입니다. 이 도구는 테스터와 보안 전문가가 시스템의 약점을 알고 패치하는 데 유용하지만 공격자는 다른 방식으로 적극적으로 사용합니다.
취약점 취약점:iSenseLab 모듈의 PreOrder에서 SQL 주입 취약점
OpenCart 사이트의 SQLi이기 때문에 우리 연구원들은 이것이 사이트의 테마나 취약한 일부 모듈에도 영향을 줄 수 있다고 생각했습니다. 추가 조사 후 널리 사용되는 OpenCart 확장 프로그램 PreOrder by iSenseLab이 발견되었습니다. 해커가 사이트 데이터베이스에 무단으로 액세스하는 데 악용하는 취약점이 있었습니다.
선주문 모듈을 사용하면 장바구니에 추가 버튼을 사전 주문으로 교체하여 현재 재고가 없는 제품을 주문할 수 있습니다. 이 모듈을 통해 고객은 OpenCart의 사전 주문 기능을 쉽게 사용하고 특정 제품을 사전 주문하고 있음을 알 수 있습니다.
해커는 공개 기능 GetPreorderedProduct($product_id)
에 대해 검증이 구현되지 않은 PreOrder 확장의 이전 버전을 악용하고 있습니다. . 이로 인해 사이트에 SQLi 문제가 발생했습니다.
우리 연구원들은 PreOrder 모듈의 버전 2.9.3에서 SQLi 취약점을 찾을 수 있었습니다. 이 모듈의 이전 버전도 SQLi에 취약할 가능성이 있습니다(이전 버전은 확인하지 않았습니다). 플러그인을 최신 버전 2.9.6으로 업데이트하는 것이 좋습니다. OpenCart 2.0.x에서 2.3.x로 저희가 확인했으며 취약하지 않은 것으로 확인되었습니다.
해커가 OpenCart 사이트 소유자 중 한 명에게 보낸 이메일:
이 취약점을 성공적으로 악용한 후 해커는 사이트의 데이터베이스를 확보하고 피해자에게 이메일을 보내 웹사이트를 해킹했다고 주장하고 훔친 데이터베이스의 스크린샷을 증거로 첨부합니다.
Hi
I found a vulnerability on your website and this vulnerability allows me easily access your database.
- If vulnerability is ignored:
The contents of your database are very easy for hackers to know.
. Your website will be planted with backdoor scripts by hackers, so hackers can enter at any time without having to go through the login page.
Client and admin data from your website will be stolen, changed, and deleted by hacker.
Client data can be misused, because usually clients use the same password on other accounts or websites.
If your client knows, chances are your client will not visit your website because they feel unsafe filling out forms or transacting on your website.
I will help you fix. By sending a report in the form of a 15-17 page document,
depending on the vulnerability on your website.
- The report I will send is about:
1. location of vulnerability
2. how to fix it
3. how to prevent vulnerability
4. How to Strengthen Website Security.
Are you interested?
I attach the results of the vulnerability that I found, that is, the contents
of your database which are very easy to know.
Greetings"
탐지 및 완화
이 해킹 캠페인은 인터넷에 연결된 OpenCart 사이트 및 모듈을 대상으로 합니다. 귀하의 사이트/매장이 감염되었는지 확인하기 위해 Astra Security는 애플리케이션 방화벽 및 보안 감사를 제공하여 감염/해킹 시도를 감지하고 사이트를 안전하게 유지하기 위해 자동화 도구 SQLmap 차단을 포함하여 이러한 감염을 수정하기 위한 권장 사항을 제공합니다. 이러한 해킹 시도.
또한 데이터베이스 서버를 인터넷에 노출하지 않는 것이 좋습니다. 대신 세분화 및 화이트리스트 액세스 정책을 통해 조직 내의 특정 사용자가 액세스할 수 있어야 합니다. 의심스럽거나 예기치 않거나 반복적인 로그인 시도를 모니터링하고 경고하기 위해 로깅을 활성화하는 것이 좋습니다(Astra Security의 방화벽 제품에 포함됨).
또한 사이트에 설치된 확장/모듈, 테마, 플러그인을 최신 버전으로 정기적으로 업데이트하는 것이 좋습니다. 이렇게 하면 해당 확장 프로그램에서 이러한 취약점이 패치되고 사이트가 더 안전해집니다.