Hackers explotaron el día cero de PrestaShop

Hackers explotaron el día cero de PrestaShop

Los hackers están apuntando a sitios web utilizando la plataforma PrestaShop, aprovechando una cadena de vulnerabilidad previamente desconocida para realizar la ejecución de código y potencialmente robar la información de pago de los clientes.

El equipo de PrestaShop emitió una advertencia urgente el pasado viernes 22 de julio, instando a los administradores de 300,000 tiendas que usan su software a revisar su postura de seguridad después de que se descubrieran ataques cibernéticos dirigidos a la plataforma.

El ataque parece afectar a las versiones de PrestaShop 1.6.0.10 o posterior y a las versiones 1.7.8.2 o posteriores si ejecutan módulos vulnerables a la inyección SQL, como el módulo Wishlist 2.0.0 a 2.1.0.

La vulnerabilidad explotada activamente se está rastreando con el identificador CVE-2022-36408.

Detalles del ataque

El ataque comienza apuntando a un módulo o una versión anterior de la plataforma vulnerable a los exploits de inyección SQL. El equipo de PrestaShop no ha determinado dónde existen estas fallas en este momento y advirtió que el compromiso también podría ser causado por un componente de terceros.

«Creemos que los atacantes se dirigen a tiendas que utilizan software o módulos obsoletos, módulos de terceros vulnerables o una vulnerabilidad aún por descubrir», explica el aviso de seguridad de PrestaShop.

Para llevar a cabo el ataque, los piratas informáticos envían una solicitud POST a un punto final vulnerable seguido de una solicitud GET sin parámetros a la página de inicio que crea un archivo «blm.php» en el directorio raíz.

El archivo blm.php parece ser un shell web que permite a los actores de amenazas ejecutar comandos en el servidor de forma remota.

En muchos casos observados, los atacantes utilizaron este shell web para inyectar un formulario de pago falso en la página de pago de la tienda y robar los detalles de la tarjeta de pago de los clientes.

Después del ataque, los actores de amenazas remotas borraron sus huellas para evitar que el propietario del sitio se diera cuenta de que fueron violados.

Actualización de seguridad publicada

Si los atacantes no fueron diligentes con la limpieza de la evidencia, los administradores del sitio comprometidos podrían encontrar entradas en los registros de acceso del servidor web en busca de signos de que estaban comprometidos.

Otros signos de compromiso incluyen modificaciones de archivos para agregar código malicioso y la activación del almacenamiento de caché MySQL Smarty, que sirve como parte de la cadena de ataque.

Esta función está deshabilitada de forma predeterminada, pero PrestaShop ha visto evidencia de que los piratas informáticos la habilitan de forma independiente, por lo que la recomendación es eliminarla si no es necesario.

Para ello, localice el archivo «config/smarty.config.inc.php» en su tienda y elimine las siguientes líneas:

Finalmente, actualice todos los módulos usados a la última versión disponible y aplique la actualización de seguridad de PrestaShop lanzada para tal fin, versión 1.7.8.7.

Esta solución de seguridad fortalece el almacenamiento de caché MySQL Smarty contra todos los ataques de inyección de código, para aquellos que desean continuar utilizando la función heredada.

Sin embargo, es importante tener en cuenta que si su sitio ya se ha visto comprometido, la aplicación de la actualización de seguridad no solucionará el problema y deberá corregirlo manualmente.


Fuentes: Beeping Computer, Prestashop

Entrada anterior Cómo reconocer el phishing
Entrada siguiente Cambia el calendario de lanzamientos de MariaDB