Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for SQL Injection

SQL Injection

Situs web PrestaShop rentan terhadap serangan SQL Injection

by

Situs web PrestaShop dilaporkan rentan terhadap kerentanan Injeksi SQL utama (dilacak sebagai CVE-2022-36408) dan telah dieksploitasi secara liar sejak Juli 2022.

Didirikan pada tahun 2007, PrestaShop adalah platform e-commerce open source freemium yang digunakan oleh ratusan ribu pemilik situs web untuk menjual produk dan layanan secara online.

Versi PrestaShop 1.6.0.10 hingga 1.7.x (sebelum 1.7.8.7) rentan terhadap “rantai kerentanan yang sebelumnya tidak diketahui” terkait dengan injeksi SQL dan kerentanan injeksi penyimpanan cache MySQL Smarty. Akibatnya, penyerang jarak jauh dapat mengeksekusi kode arbitrer.

“Tim pengelola telah disadarkan bahwa aktor jahat mengeksploitasi kombinasi kerentanan keamanan yang diketahui dan tidak diketahui untuk menyuntikkan kode berbahaya di situs web PrestaShop, memungkinkan mereka untuk mengeksekusi instruksi sewenang-wenang, dan berpotensi mencuri informasi pembayaran pelanggan,” tulis PrestaShop dalam sebuah posting blog. .

Menurut PrestaShop, penyerang biasanya mengikuti langkah-langkah ini untuk meluncurkan serangan terhadap toko-toko yang rentan:

  • Penyerang mengirimkan permintaan POST ke situs web yang rentan untuk mengeksploitasi kerentanan injeksi SQL.
    Setelah kira-kira satu detik, penyerang mengirimkan permintaan GET ke beranda (tanpa parameter), yang membuat file PHP bernama blm.php di direktori root situs web.
  • Penyerang kemudian mengirimkan permintaan GET ke file baru blm.php, sehingga memungkinkan penyerang untuk mengeksekusi instruksi sewenang-wenang.
  • Akibatnya, pelaku jahat kemudian dapat sepenuhnya berkompromi dengan situs web dan menyuntikkan formulir pembayaran palsu melalui halaman checkout front-office.

Matt Morrow, dari perusahaan keamanan Securi, juga menemukan situs web PrestaShop yang terinfeksi yang berisi malware PrestaShop Skimmer yang disembunyikan di Modul One Page Checkout. Akibatnya, ditemukan injeksi kode yang menggantikan formulir kartu pembayaran situs web korban.

PrestaShop merilis pembaruan baru pada 25 Juli untuk versi terbaru PrestaShop 1.7.8.7 yang memperkuat penyimpanan cache MySQL Smarty terhadap serangan injeksi kode.

Pemilik toko sangat dianjurkan untuk mengupgrade situs web mereka ke versi terbaru sesegera mungkin ke alamat CVE-2022-36408..

Namun, PrestaShop juga memperingatkan pemilik toko untuk “mewaspadai bahwa meningkatkan perangkat lunak Anda mungkin tidak cukup untuk mengamankan toko Anda jika sudah diretas.” Pemilik situs dapat menghubungi spesialis keamanan jika perlu untuk melakukan audit penuh dan menghapus malware apa pun jika terdeteksi.

Sumber: Secure Zoo

Kesalahan coding pemula sebelum peretasan Gab berasal dari CTO situs

by

Selama akhir pekan, muncul kabar bahwa seorang peretas menembus situs media sosial sayap kanan Gab dan mengunduh 70 gigabyte data dengan mengeksploitasi kelemahan keamanan menggunakan injeksi SQL.

Tinjauan singkat dari kode sumber terbuka Gab menunjukkan bahwa kerentanan kritis — atau setidaknya yang serupa — diperkenalkan oleh kepala petugas teknologi perusahaan (CTO).

Perubahan, yang dalam bahasa pengembangan perangkat lunak dikenal sebagai “git commit”, dilakukan sekitar bulan Februari dari akun Fosco Marotto, mantan insinyur perangkat lunak Facebook yang pada bulan November menjadi CTO Gab. Pada hari Senin, Gab menghapus git commit dari situsnya. Di bawah ini adalah gambar yang menunjukkan perubahan perangkat lunak bulan Februari, seperti yang ditunjukkan dari situs yang menyediakan snapshot commit yang disimpan.

Sumber: Ars Technica

Commit menunjukkan pengembang perangkat lunak yang menggunakan nama Fosco Marotto yang memperkenalkan dengan tepat jenis kesalahan pemula yang dapat menyebabkan jenis pelanggaran yang dilaporkan akhir pekan ini. Secara khusus, baris 23 menghapus kode “tolak” dan “filter”, yang merupakan fungsi API yang mengimplementasikan idiom pemrograman yang melindungi dari serangan injeksi SQL.

Idiom ini memungkinkan programmer untuk membuat kueri SQL dengan cara yang aman yang “membersihkan” masukan yang dimasukkan pengunjung situs web ke dalam kotak telusur dan bidang web lainnya untuk memastikan bahwa setiap perintah berbahaya dihapus sebelum teks diteruskan ke server backend.

Sebagai gantinya, pengembang menambahkan panggilan ke fungsi Rails yang berisi metode “find_by_sql”, yang menerima input unsanitized secara langsung dalam string kueri. Rails adalah toolkit pengembangan situs web yang banyak digunakan.

Selengkapnya: Ars Technica

Fortinet telah memperbaiki kerentanan kritis di SSL VPN dan firewall web

by

Fortinet telah memperbaiki beberapa kerentanan parah yang memengaruhi produknya.

Kerentanan berkisar dari Remote Code Execution (RCE) hingga SQL Injection, hingga Denial of Service (DoS) dan berdampak pada produk FortiProxy SSL VPN dan FortiWeb Web Application Firewall (WAF).

Berbagai advisory yang diterbitkan oleh FortiGuard Labs bulan ini dan pada Januari 2021 menyebutkan berbagai kerentanan kritis yang telah ditambal oleh Fortinet pada produk mereka.

Catatan khusus adalah kerentanan CVE-2018-13381 di FortiProxy SSL VPN yang dapat dipicu oleh aktor jarak jauh yang tidak diautentikasi melalui permintaan POST yang dibuat.

Karena buffer overflow di portal SSL VPN FortiProxy, permintaan POST berukuran besar yang dibuat secara khusus, saat diterima oleh produk dapat membuat crash, yang mengarah ke kondisi Denial of Service (DoS).

Demikian pula, CVE-2018-13383 menarik karena penyerang dapat menyalahgunakannya untuk memicu luapan di VPN melalui properti konten HREF JavaScript.

Jika laman web buatan penyerang yang berisi muatan JavaScript diurai oleh FortiProxy SSL VPN, eksekusi kode jarak jauh sangat memungkinkan, sebagai tambahan DoS.

Kerentanan di FortiWeb Web Application Firewall ditemukan dan dilaporkan secara bertanggung jawab oleh peneliti Andrey Medov di Positive Technologies.

“Yang paling berbahaya dari keempat kerentanan ini adalah SQL Injection (CVE-2020-29015) dan Buffer Overflow (CVE-2020-29016) karena eksploitasi mereka tidak memerlukan otorisasi.”

Selengkapnya: Bleeping Computer