OpenCart サイトを標的とするハッカー、OpenCart データベースのハッキングに関するメールを送信

当社のセキュリティ研究者は最近、OpenCart Database Hacked に関するメールを送信して何千もの OpenCart サイトに感染し、ユーザーの機密情報を盗むことを目的とした進行中のハッキング キャンペーンを発見しました。現在進行中のキャンペーンでは、OpenCart モジュールに存在する SQLi の脆弱性と、そのサイトにインストールされているパッチが適用されていない拡張機能を利用して、最終的に脆弱性を悪用し、顧客のデータベースを盗みます。

このキャンペーンでは、攻撃者はサイトの所有者にメールを送信して、データベースがハッキングされていることを知らせ、それらの脆弱性を修正するサービスも提供しています。

Ananda が率いる調査チームは、8 月初旬からこのキャンペーンを監視しており、OpenCart プラットフォームで実行されている多くの e コマース サイトが侵害されました。しかし、今週はこのキャンペーン活動が急増しており、データベースがハッキングされていると不満を漏らしている OpenCart サイトの所有者もいます。

ハッカーはどのようにして OpenCart データベースにアクセスしますか?

使用ツール:

この進行中のキャンペーンの分析中に、当社の研究者は、攻撃者が SQLmap ツールを使用して、電子商取引プラットフォームに存在するセキュリティの問題と誤った構成を特定していることを観察しました。

SQLmap は、入力パラメーターを識別し、入力フィールドにクエリを挿入しようとする自動化された脆弱性スキャン ツールです。このツールは、テスターやセキュリティ専門家がシステムの弱点を知り、パッチを当てるのに役立ちますが、攻撃者は別の方法で積極的にツールを使用しています。

悪用された脆弱性:iSenseLab モジュールによる予約注文での SQL インジェクションの脆弱性

これは OpenCart サイトの SQLi であるため、当社の研究者は、これがサイトのテーマまたは脆弱なモジュールにも影響を与える可能性があると考えました。さらに調査した結果、広く使用されている OpenCart 拡張機能 PreOrder by iSenseLab であることが判明しました。 サイトのデータベースへの不正アクセスを取得するためにハッカーによって悪用された脆弱性がありました.

事前注文 モジュールを使用すると、ユーザーは [カートに追加] ボタンを [予約注文] に置き換えることで、現在在庫切れの製品を注文できます。このモジュールにより、顧客は OpenCart の事前注文機能を簡単に使用でき、特定の製品を事前注文していることを認識できます。

ハッカーは、パブリック関数 GetPreorderedProduct($product_id) の検証が実装されていない古いバージョンの PreOrder 拡張機能を悪用しています。 .これにより、サイトで SQLi の問題が発生しました。

当社の研究者は、PreOrder モジュールのバージョン 2.9.3 に SQLi の脆弱性を発見しました。このモジュールの以前のバージョンも SQLi に対して脆弱である可能性があります (以前のバージョンは確認していません)。プラグインを最新バージョンの 2.9.6 (OpenCart 2.0.x から 2.3.x へ) に更新することをお勧めします。

ハッカーから OpenCart サイト所有者の 1 人に送信された電子メール:

この脆弱性の悪用に成功した後、ハッカーはサイトのデータベースを取得し、ウェブサイトをハッキングしたと主張する電子メールを被害者に送信し、盗んだデータベースのスクリーンショットを証拠として添付します.

Hi

I found a vulnerability on your website and this vulnerability allows me easily access your database.

- If vulnerability is ignored:
The contents of your database are very easy for hackers to know.

. Your website will be planted with backdoor scripts by hackers, so hackers can enter at any time without having to go through the login page.

Client and admin data from your website will be stolen, changed, and deleted by hacker.

 Client data can be misused, because usually clients use the same password on other accounts or websites.

 If your client knows, chances are your client will not visit your website because they feel unsafe filling out forms or transacting on your website.

I will help you fix. By sending a report in the form of a 15-17 page document,

depending on the vulnerability on your website.

- The report I will send is about:

1. location of vulnerability
2. how to fix it
3. how to prevent vulnerability
4. How to Strengthen Website Security.

Are you interested?

I attach the results of the vulnerability that I found, that is, the contents
of your database which are very easy to know.

Greetings"

検出と緩和

このハッキング キャンペーンは、インターネットに接続している OpenCart サイトとモジュールをターゲットにしています。サイト/ストアが感染しているかどうかを確認するために、Astra Security は、感染/ハッキングの試みを検出するためのアプリケーション ファイアウォールとセキュリティ監査を提供し、自動ツール SQLmap のブロックを含むこれらの感染を修正するための推奨事項も提供します。そのようなハッキングの試み。

また、データベース サーバーをインターネットに公開しないことを強くお勧めします。代わりに、セグメンテーションとホワイトリスト アクセス ポリシーを通じて、組織内の特定のユーザーがアクセスできるようにする必要があります。疑わしい、予期しない、または繰り返されるログイン試行を監視して警告するために、ログを有効にすることをお勧めします (これは、Astra Security のファイアウォール サービスに含まれています)。

サイトにインストールされている拡張機能/モジュール、テーマ、プラグインを定期的に最新バージョンに更新することもお勧めします。これにより、これらの拡張機能でそのような脆弱性にパッチが適用され、サイトがより安全になります。