نقص‌های حیاتی در نرم‌افزار OXID eShop سراچه‌های تجارت الکترونیک را در معرض هک شدن قرار داد.

اگر سایت تجارت الکترونیک شما روی پلتفرم OXID eShop اجرا می‌شود، شما باید آن را هر چه سریع‌تر به‌روزرسانی کنید تا از به خطر افتادن سایتتان جلوگیری کنید.

محققان امنیت سایبری یک جفت آسیب‌پذیری حیاتی را در نرم‌افزار تجارت الکترونیکی OXID eShop کشف کرده‌اند که می‌تواند به مهاجمان غیرمجاز اجازه دهد کنترل کامل وب‌سایت‌های آسیب‌پذیر تجارت الکترونیکی را از راه دور و در کمتر از چند ثانیه در اختیار گیرند.

OXID eShop یکی از راه‌حل‌های برتر نرم‌افزاری فروشگاه‌های تجارت الکترونیکی در آلمان است که نسخه سازمانی آن توسط رهبران صنعت ازجمله مرسدس، BitBurger و Edeka استفاده می‌شود.

محققان امنیتی RIPS Technologies GmbH آخرین یافته‌های خود را با The Hacker News به اشتراک گذاشتند [۱] و در مورد دو آسیب‌پذیری امنیتی مهم که روی نسخه‌های اخیر Enterprise ، Professional و Community Edition از نرم‌افزار OXID eShop تأثیر می‌گذارد، توضیح دادند.

لازم به ذکر است که برای اجرای هر دو آسیب‌پذیری هیچ تعاملی بین مهاجم و قربانی ضروری نیست و این نقص‌ها روی پیکربندی پیش‌فرض این نرم‌افزار تجارت الکترونیکی کار می‌کنند.

OXID eShop: نقص تزریق SQL

اولین آسیب‌پذیری، که با عنوان CVE-2019-13026 شناخته می‌شود، یک آسیب‌پذیری تزریق SQL است که به یک مهاجم غیرمجاز اجازه می‌دهد تا در هر وب سایتی که دارای هر نسخه آسیب‌پذیر از نرم‌افزار OXID eShop است به‌سادگی یک حساب مدیر جدید با یک رمز عبور دلخواه خود ایجاد کند.

محققان به The Hacker News دراین‌باره گفتند: “یک تزریق غیرمجاز SQL می‌تواند هنگام مشاهده جزئیات یک محصول مورد بهره‌برداری قرار گیرد. ازآنجاکه پایگاه داده اصلی از درایور پایگاه داده PDO استفاده می‌کند، از نمایش داده‌های انباشته‌شده می‌توان برای واردکردن داده به پایگاه داده استفاده کرد. در بهره‌بردار ما از این برای واردکردن یک کاربر مدیر جدید استفاده کردیم.”

در اینجا[۲] محققان  یک ویدیوی اثبات ادعا را با The Hacker News به اشتراک گذاشتند و این حمله را نشان دادند.

اگرچه سیستم پایگاه داده PDO برای جلوگیری از حملات تزریق SQL با استفاده از عبارات آماده شده طراحی شده است، اما با استفاده از دستورات ساخت SQL به‌صورت پویا می‌توانید نمایش داده‌های انباشته‌شده را در معرض خطر آلوده شدن بالاتر قرار دهید.

OXID eShop: نقص اجرای کد از راه دور

آسیب‌پذیری دوم یک مسئله تزریق PHP Object است، که در پنل مدیریتی نرم‌افزار OXID eShop قرار دارد و هنگامی رخ می‌دهد که ورودی تأمین‌شده توسط کاربر قبل از انتقال به عملکرد غیرفعال () PHP، به‌درستی sanitized  نشود.

این آسیب‌پذیری می‌تواند برای به دست آوردن اجرای کد از راه دور روی سرور مورد بهره‌برداری قرار گیرد. بااین‌حال، نیاز به دسترسی مدیر دارد که می‌تواند با استفاده از اولین آسیب‌پذیری حاصل شود.

محققان به The Hacker News دراین‌باره گفتند: “یک آسیب‌پذیری دوم می‌تواند زنجیره‌ای برای به دست آوردن اجرای کد از راه دور روی سرور باشد. ما از یک بهره‌برداری کاملاً کارآمد Python2.7 استفاده می‌کنیم که می‌تواند eShops OXID را به‌طور مستقیم به خطر بیندازد که فقط نیاز به یک URL به‌عنوان argument دارد.”

در اینجا[۳] ویدئوی اثبات ادعای این حمله اجرای کد از راه دور نشان داده شده است.

پس از موفقیت، مهاجمان می‌توانند از راه دور کد موذی را روی سرور اصلی اجرا کنند یا افزونه موذی خود را نصب کنند تا کارت‌های اعتباری کاربران، اطلاعات حساب PayPal و هرگونه اطلاعات مالی بسیار حساس را که از طریق سیستم eShop عبور می‌کند را دقیقاً مانند حملات MageCart بدزدند[۴].

محققان RIPS مسئولانه یافته‌های خود را به OXID eShops گزارش دادند و این شرکت این مسئله را تأیید کرد و با انتشار OXID eShop نسخه‌های ۶٫۰٫۵ و ۶٫۱٫۴ برای هر سه ویرایش، آن را برطرف کرد[۵].

به نظر می‌رسد که این شرکت آسیب‌پذیری دوم را برطرف نکرده است، بلکه با برطرف کردن آسیب‌پذیری شماره اول، به‌طور خودکار برطرف شده است.

منابع

[۱] https://blog.ripstech.com/2019/oxid-esales-shop-software

[۲] https://youtu.be/zPqNN5HuGUM

[۳] https://youtu.be/aIbfOt0HkdE

[۴] https://thehackernews.com/2019/07/magecart-amazon-s3-hacking.html

[۵] https://oxidforge.org/en/security-bulletin-2019-001.html

[۶] https://thehackernews.com/2019/07/oxid-eshop-ecommerce.html