Kelemahan Kritis di Perangkat Lunak 'OXID eShop' Mengekspos Situs eCommerce terhadap Peretasan
Jika situs web e-commerce Anda berjalan pada Platform OXID eShop, Anda harus segera memperbaruinya untuk mencegah situs Anda menjadi terganggu.
Peneliti cybersecurity telah menemukan sepasang kerentanan kritis dalam perangkat lunak e-commerce OXID eShop yang dapat memungkinkan penyerang yang tidak terauthentikasi mengambil kendali penuh atas situs web eCommerce yang rentan dari jarak jauh dalam waktu kurang dari beberapa detik.
OXID eShop adalah salah satu solusi perangkat lunak toko e-commerce Jerman terkemuka yang edisi perusahaannya digunakan oleh para pemimpin industri termasuk Mercedes, BitBurger, dan Edeka.
Peneliti keamanan di RIPS Technologies GmbH berbagi temuan terbaru mereka dengan The Hacker News, merinci tentang dua kerentanan keamanan penting yang memengaruhi versi terbaru dari perangkat lunak OXID eShop versi Enterprise, Professional, dan Community.
Perlu dicatat bahwa sama sekali tidak ada interaksi antara penyerang dan korban yang diperlukan untuk mengeksekusi kedua kerentanan, dan kelemahannya bekerja terhadap konfigurasi default perangkat lunak e-commerce.
OXID eShop: Kesalahan Injeksi SQL
Kerentanan pertama, ditetapkan sebagai CVE-2019-13026, adalah kerentanan injeksi SQL yang memungkinkan penyerang tidak terauthentikasi untuk membuat akun administrator baru, dengan kata sandi pilihannya sendiri, di situs web yang menjalankan versi perangkat lunak OXID eShop yang rentan.
"Injeksi SQL yang tidak terauthentikasi dapat dieksploitasi saat melihat detail suatu produk. Karena basis data yang mendasari menggunakan driver database PDO, kueri yang bertumpuk dapat digunakan untuk menyisipkan data ke dalam database. Dalam eksploitasi kami, kami menyalahgunakan ini untuk menyisipkan yang baru pengguna admin, "kata para peneliti kepada The Hacker News.
Berikut adalah video yang dibuktikan oleh peneliti video Proof-of-Concept dengan The Hacker News, yang menunjukkan serangan ini:
Meskipun sistem basis data PDO telah dirancang untuk mencegah serangan injeksi SQL menggunakan pernyataan yang disiapkan, menggunakan perintah SQL yang dibuat secara dinamis dapat meninggalkan pertanyaan yang bertumpuk pada risiko lebih tinggi untuk ternoda.
OXID eShop: Kelemahan Eksekusi Kode Jarak Jauh
Kerentanan kedua adalah masalah injeksi Objek PHP, yang berada di panel administrasi perangkat lunak OXID eShop dan terjadi ketika input yang diberikan pengguna tidak dibersihkan dengan benar sebelum diteruskan ke fungsi PHP unserialize ().
Kerentanan ini dapat dieksploitasi untuk mendapatkan eksekusi kode jauh di server; Namun, itu membutuhkan akses administratif yang dapat diperoleh dengan menggunakan kerentanan pertama.
"Kerentanan kedua kemudian dapat dirantai untuk mendapatkan eksekusi kode jarak jauh di server. Kami memiliki exploit Python2.7 yang berfungsi penuh yang dapat mengkompromikan OXID eShops secara langsung yang hanya memerlukan URL sebagai argumen," kata para peneliti kepada The Hacker News.
Berikut demonstrasi video yang menunjukkan serangan RCE beraksi:
Setelah berhasil, penyerang dapat mengeksekusi kode jahat dari jauh di server yang mendasarinya, atau menginstal plugin jahat mereka sendiri untuk mencuri kartu kredit pengguna, informasi akun PayPal dan informasi keuangan yang sangat sensitif yang melewati sistem eShop – seperti serangan MageCart.
Peneliti RIPS secara bertanggung jawab melaporkan temuan mereka ke OXID eShops, dan perusahaan mengakui masalah tersebut dan mengatasinya dengan merilis OXID eShop v6.0.5 dan 6.1.4 untuk ketiga Edisi.
Tampaknya perusahaan tidak menambal kerentanan kedua, tetapi hanya meredakannya dengan mengatasi masalah pertama. Namun, di masa depan, jika ada masalah pengambilalihan admin ditemukan, itu akan menghidupkan kembali serangan RCE.
