Atacatorii folosesc o noua vulnerabilitate care le permite acestora sa preia controlul website-urilor PrestaShop.

Ce se intampla ?

Ne-a atras atentia faptul ca atacatorii exploateaza o vulnerabilitate in PHPUnit pentru a executa un cod arbitrar pe serverele care ruleaza website-uri  PrestaShop. Problema este rezolvata pentru versiunile PHPUnit 7.5.19 si 8.5.1 insa toate versiunile anterioare sunt vulnerabile, cel putin pentru anumite configuratii de servere.

Cum stiti daca sunteti afectat ?

Conectati-va la shop-ul dvs. online prin intermediul FTP sau a terminalului SSH si verificati directorul „vendor” din folderul principal PrestaShop si in fiecare dintre modulele dvs.:

  • <prestashop_directory>/vendor
  • <prestashop_directory>/modules/<module_name>/vendor

Daca exista un director numit “phpunit” in directoarele mentionate mai sus, magazinul dvs. online poate fi vulnerabil.

Ce sa faceti daca sunteti afectat ?

PHPUnit este o biblioteca de dezvoltare si nu este necesara pentru functionarea normala a website-ului dvs., asa ca puteti pur si simplu sterge toate directoarele „phpunit” gasite mai sus. Acest lucru ar trebui sa ajute la oprirea vectorului de atac.

Pe un server Linux, aceasta operatiune poate fi efectuata rapid folosind urmatoarea comanda bash:

find . -type d -name "phpunit" -exec rm -rf {} \;

Executarea comenzii necesita autentificarea in terminalul SSH sub userul sub care ruleaza website-ul.
De asemenea, puteti sterge manual folderele „phpunit” prin FTP.

IMPORTANT: Inainte de a realiza orice modificare asupra website-ului dvs. asigurati-va ca detineti o copie actuala a intregului website (inclusiv baza de date).

Chiar daca efectuati aceasta curatare, este posibil ca magazinul dvs. sa fi fost deja compromis!

Conform analizelor in domeniu, majoritatea atacatorilor plaseaza fisiere noi in sistemul de fisiere sau modifica fisierele existente, cum ar fi AdminLoginController.php

Iata o lista restransa de fisiere malitioase cunoscute care pot indica un magazin compromis:

Nume fisiermd5
XsamXadoo_Bot.php0890e346482060a1c7d2ee33c2ee0415 or b2abcadb37fdf9fb666f10c18a9d30ee
XsamXadoo_deface.php05fb708c3820d41c95e34f0a243b395e
0x666.phpedec4c4185ac2bdb239cdf6e970652e3
f.php45245b40556d339d498aa0570a919845

 

Puteti verifica daca fisierele core PrestaShop au fost modificate consultând sectiunea “List of changed files” din partea de jos a paginii “Advanced Parameters > Information” din Back Office. Cu toate acestea, este posibil ca aceasta verificare sa nu fie suficienta, deoarece website-ul dvs. ar putea fi deja compromis.

Daca magazinul dvs. a fost compromis sau daca credeti ca a fost compromis:

  • Verificati cu atentie daca atacatorul nu a lasat niciun fisier pe serverul dvs., de ex. ascuns printre fisierele magazinului dvs. si / sau contactati un expert care sa faca aceasta verificare pentru dvs.
  • Solicitati tuturor utilizatorilor magazinului / magazinelor dvs. sa isi schimbe parola, inclusiv utilizatorii de back-office, dar si clientilor. Asigurati-va ca nu exista inca un fisier compromis in magazin.

Daca credeti ca site-ul dvs. a fost tinta unui atac, contactati un expert in securitate.

Module PrestaShop afectate de aceasta vulnerabilitate:

  • 1-Click Upgrade (autoupgrade): versiunea 4.0 beta si cele ulterioare
  • Cart Abandonment Pro (pscartabandonmentpro): versiunile 2.0.1~2.0.2
  • Faceted Search (ps_facetedsearch): versiunile 2.2.1~3.0.0
  • Merchant Expertise (gamification): versiunile 2.1.0 si cele ulterioare
  • PrestaShop Checkout (ps_checkout): versiunile 1.0.8~1.0.9

Au fost lansate versiuni actualizate pentru aceste module care elimina complet biblioteca cu probleme de securitate:

  • 1-Click upgrade: v4.10.1
  • Cart Abandonment Pro: v2.0.10
  • Faceted Search: v3.4.1
  • Merchant Expertise: v2.3.2
  • PrestaShop Checkout: v1.2.9

Daca ati instalat in trecut o versiune afectata a acestor module, fisierele PHPUnit pot fi inca prezente pe serverul dvs. Doar aceste versiuni recent lansate asigura ca PHPUnit nu mai este prezent in propriul lor director de furnizori.

Modulele si temele de la alti furnizori pot fi si ele vulnerabile. Asteptati-va la actualizari in perioada urmatoare.