内存安全周报第102期 | 威胁行为者利用PrestaShop中的0day漏洞

发布者:安芯网盾
发布于:2022-08-01 19:39

一、威胁行为者利用PrestaShop中的0day漏洞(7.29) 

网络犯罪分子以使用 PrestaShop 平台的电子商务网站为目标,窃取客户的支付信息。他们正在滥用以前未知的漏洞链来执行恶意代码。

详细情况

几天前,PrestaShop 团队发布警告,要求 300,000 家使用其软件的商店的管理员在发现针对该平台的网络攻击后检查他们的安全状况。 

· 如果它们运行暴露于 SQL 注入的模块,则攻击针对 PrestaShop 版本 1.6.0.10 或更高版本。1.7.8.2 及以上版本的用户没有风险,但是如果他们运行任何暴露于 SQL 注入攻击的模块(例如 Wishlist 2.0.0 到 2.1.0),他们可能会受到影响。 

· 被滥用的漏洞被跟踪为CVE-2022-36408 。成功利用该漏洞会导致在运行PrestaShop网站的服务器上执行任意代码。

作案手法

攻击首先针对易受 SQL 注入攻击的旧平台版本。 

· 为了执行攻击,攻击者向暴露的端点发送 POST 请求,并向主页发送无参数的 GET 请求,并在根目录中创建一个 blm[.]php 文件。 

· blm[.]php 是一个允许攻击者在目标服务器上运行远程命令 的web shell。这个web shell被用来在商店的结账页面上注入一个假的支付表单。 · 此外,攻击者还可能在网站上的任何位置植入恶意代码。

攻击后清理

· 攻击后,远程攻击者会删除他们的痕迹,从而阻止网站所有者知道他们被入侵了。 

· 如果攻击者未能清除他们的踪迹,站点管理员可能会在web服务器的访问日志中找到入侵迹象的条目。 

· 另一个标志是 MySQL Smarty 缓存存储功能的激活。

保持安全

确保 PrestaShop 网站和所有模块都使用最新更新或安全补丁进行了修补。这可以防止数字商店暴露于已知的和积极利用的SQL注入缺陷。 

此外,专家建议在发布补丁之前禁用 MySQL Smarty 缓存存储功能。

参考链接

https://cyware.com/news/threat-actors-exploit-zero-day-in-prestashop-a0c75118


二、 Chrome 0day漏洞遭到滥用,利用间谍软件攻击目标记者(7.27)

据悉,以色列的间谍软件供应商Candiru利用一种名为DevilsTongue的间谍软件,滥用Google Chrome中的0day,来监视中东的记者和高利益个体。

详细情况

Avast研究人员发现了这个漏洞,将其报告给了谷歌。此外,在检查了DevilsTongue对其客户的攻击后,他们披露了一些细节。 

· Candiru自3月起开始滥用这一0day,目标用户分布在巴勒斯坦,土耳其,也门和黎巴嫩。 

· 该漏洞被跟踪为CVE-2022-2294,是WebRTC中一种基于堆的高危缓冲区溢出漏洞。成功利用此漏洞可在目标设备上执行代码。 

· 该零日漏洞一直在网络攻击中被积极利用,在向谷歌报告后,这家科技公司于7月4日对其进行了修补。 该漏洞存在于WebRTC中,因此它也会对Safari浏览器造成影响,但据目前所知仅在Windows上起作用。

攻击媒介

间谍软件运营商在攻击中使用了水坑和鱼叉式网络钓鱼策略。 

· 这种攻击不需要与受害者交互,例如需要受害者单击链接或下载文件。 

· 相反,它让用户打开已遭到攻击的网站或黑客在基于Chromium浏览器或Chrome中创建的网站。 

· 在一个案例中,攻击者侵入了黎巴嫩一家新闻机构网站,插入JavaScript片段来启用XSS攻击,并将目标重定向到所利用的服务器。 

· 在黎巴嫩的案例中,0day漏洞允许在渲染器进程内执行shellcode,并进一步链接一个沙箱逃逸漏洞,Avast未能恢复以进行调查。

在最初感染后,DevilsTongue间谍软件使用BYOVD(自带驱动程序)步骤来升级权限,获得对受感染设备内存的读写权限。研究人员认为,网络犯罪分子使用间谍软件是为了掌握目标记者正在处理的新闻报道。

结论

近期报告揭示了商业间谍软件供应商所提供服务的危险。这些供应商正在开发或购买可利用的0day,来对他们顾客要求的客户发动攻击。所以,要使用强大的加密功能来保护数据,及时更新安全设备。

参考链接

https://cyware.com/news/chrome-zero-day-abused-to-spread-spyware-to-target-journalists-2ff0e344




声明:该文观点仅代表作者本人,转载请注明来自看雪