Herramientas

Vulnerabilidad detectada en Módulo de Prestashop

Logo-PrestaShop-1

Los atacantes están utilizando una vulnerabilidad en una dependencia popular utilizada por los módulos para tomar el control de los sitios de PrestaShop. Para más detalles, lea el artículo completo.

Qué está pasando

Nos ha llamado la atención que los atacantes están explotando una vulnerabilidad en PHPUnit para realizar la ejecución de código arbitrario en servidores que ejecutan sitios web de PrestaShop. El problema se soluciona en PHPUnit 7.5.19 y 8.5.1. Hasta donde sabemos, todas las versiones anteriores son vulnerables, al menos para ciertas configuraciones de servidor.

Cómo saber si estás afectado

Conéctese a su tienda a través de FTP o acceso de shell, y mire el directorio de «proveedores» en la carpeta principal de prestashop y dentro de cada uno de sus módulos:

  • <prestashop_directory> / vendor
  • <prestashop_directory> / modules / <module_name> / vendor

Si hay un directorio llamado «phpunit» dentro de los directorios mencionados anteriormente, su tienda puede ser vulnerable.

Qué hacer si se ve afectado

PHPUnit es una biblioteca de desarrollo y no es necesaria para el funcionamiento normal de su sitio, por lo que simplemente puede eliminar todos los directorios «phpunit» que se encuentran arriba. Esto debería ayudar a cerrar el vector de ataque.

En un servidor Linux, esto se puede realizar rápidamente utilizando la siguiente línea de comando bash de los módulos / carpetas de la tienda:

find . -type d -name "phpunit" -exec rm -rf {} \;

Este comando requiere los derechos de usuario relevantes.

También puede eliminar manualmente las carpetas «phpunit» a través de FTP.

Tenga en cuenta que incluso si realiza esta limpieza, es posible que su tienda ya se haya visto comprometida.

Según nuestro análisis, la mayoría de los atacantes colocan archivos nuevos en el sistema de archivos o modifican archivos existentes, como AdminLoginController.php.

Aquí hay una lista no exhaustiva de archivos maliciosos conocidos que pueden indicar una tienda comprometida:

Nombre del archivomd5
XsamXadoo_Bot.php0890e346482060a1c7d2ee33c2ee0415 o b2abcadb37fdf9fb666f10c18a9d30ee
XsamXadoo_deface.php05fb708c3820d41c95e34f0a243b395e
0x666.phpedec4c4185ac2bdb239cdf6e970652e3
f.php45245b40556d339d498aa0570a919845

Puede verificar si los archivos Core PrestaShop han sido modificados mirando la sección «Lista de archivos modificados» en la parte inferior de la página «Parámetros avanzados> Información» en su Back Office. Sin embargo, esta verificación puede no ser suficiente ya que su sitio podría haber sido comprometido de otra manera.

Si su tienda se ha visto comprometida o si cree que se ha visto comprometida:

  • Verifique cuidadosamente que el atacante no haya dejado ningún archivo en su servidor, por ejemplo, oculto en el medio de sus archivos de la tienda y / o contacte a un experto para que lo haga por usted.
  • Considere pedir a todos los usuarios de su (s) tienda (s) que cambien su contraseña, que incluye a los usuarios de back office pero también a las cuentas de los clientes. Asegúrese de que antes no haya ningún archivo comprometido en su tienda.

Si cree que su sitio ha sido pirateado, comuníquese con un experto en seguridad.

Módulos PrestaShop afectados por esta vulnerabilidad

Algunos módulos se ven afectados:

  • Actualización con 1 clic (actualización automática): versiones 4.0 beta y posteriores
  • Cart Abandonment Pro (pscartabandonmentpro): versiones 2.0.1 ~ 2.0.2
  • Búsqueda por facetas (ps_facetedsearch): versiones 2.2.1 ~ 3.0.0
  • Experiencia del comerciante (gamificación): versiones 2.1.0 y posteriores
  • PrestaShop Checkout (ps_checkout): versiones 1.0.8 ~ 1.0.9

Hemos lanzado versiones actualizadas para estos módulos que eliminan completamente la biblioteca relacionada de sus propias dependencias:

  • Actualización con 1 clic: v4.10.1
  • Carrito Abandono Pro: v2.0.10
  • Búsqueda por facetas: v3.4.1
  • Experiencia del comerciante: v2.3.2
  • Pago de PrestaShop: v1.2.9

Tenga en cuenta que si instaló en el pasado una versión afectada de esos módulos, los archivos PHPUnit aún pueden estar presentes en su servidor. Solo estas versiones recientemente lanzadas aseguran que PHPUnit ya no esté presente en su propio directorio de proveedores.

Los módulos y temas de otros proveedores también pueden ser vulnerables. Espere actualizaciones para seguir pronto.

Fuente : Prestashop

Deja un comentario