05/08/2011 20:38 GMT+7

Vài triệu shop osCommerce trực tuyến bị hack

PHONG VÂN

TTO - Một cách thức đánh bại khả năng phòng thủ của nền tảng web thương mại điện tử mã nguồn mở osCommerce vừa được khám phá, nhanh chóng tạo ra làn sóng khai thác lỗi trên vài triệu website thương mại đang dùng nền tảng này.

Truy xuất vào phần quản trị cửa hàng trực tuyến dùng osCommerce mà không cần phải có quyền admin - Ảnh: Internet

Theo công ty Armorize, một đợt tấn công lớn nhắm vào lỗi bảo mật trong mã nguồn của nền tảng osCommerce để triển khai mã độc. Số trang "nhiễm độc" bị chiếm dụng làm nơi phát tán đang tăng nhanh.

Những kẻ tấn công khai thác ít nhất ba lỗi trong phiên bản osCommerce 2.2 để giành quyền kiểm soát giao diện cấu hình cửa hàng trực tuyến mà không cần tài khoản quản trị (admin), cho phép chúng chèn một mã iFrame rồi sau đó là mã Javascript vào các trang đầu tiên nhằm lây nhiễm mã độc cho khách truy cập.

Phóng to

Một cửa hàng sách trực tuyến dùng osCommerce là nạn nhân của đợt tấn công - Ảnh minh họa: Amorize

Trang H-Online cho biết mã độc chứa đoạn mã khai thác 5 lỗi bảo mật sẽ được nhúng vào trang web bị hack, chúng hướng đến các lỗi trong Java, Adobe Reader, Windows Help Centre hay trình duyệt Internet Explorer để tấn công vào hệ thống của nạn nhân là những khách truy cập vào website bị hack.

Một số tên miền dùng để phát tán mã độc đã bị khóa.

Các chủ nhân của shop trực tuyến đang dùng osCommerce có thể nâng cấp lên phiên bản 2.3.1 hoặc 3.0.1 tại đây.

osCommerce là gói mã nguồn mở cho phép mọi người dùng có nhu cầu xây dựng một shop trực tuyến tải về, cài đặt và sử dụng. Do osCommerce miễn phí sử dụng, dễ cài đặt và có một lượng lớn giao diện mẫu (template) được thiết kế sẵn nên có rất đông người dùng chọn làm nền tảng cho shop trực tuyến của mình.

Tuy nhiên, sau một thời gian dài "đứng yên" không có bước tiến nào đặc biệt, osCommerce đã gặp phải sự cạnh tranh từ nhiều gói mã nguồn mở khác như Magento (hiện nay đã thuộc sở hữu của eBay) hay Virtual eMart trong Joomla nên cộng đồng phát triển osCommerce ngày càng suy tàn, ít cho ra các phiên bản mới lẫn các bản cập nhật vá lỗi.

Đáng lo ngại hơn là khi sử dụng các template từ các hãng thứ ba cho osCommerce sẽ làm cho việc nâng cấp thêm các gói cập nhật bảo mật sẽ rất khó khăn. Do đó, đây là lý do vì sao rất nhiều shop trực tuyến vẫn còn dùng phiên bản osCommerce cũ, bỏ ngỏ lỗi bảo mật cho tin tặc khai thác.

PHONG VÂN