E’ di pochi giorni la notizia del rilascio di una nuova patch per PrestaShop.
La comunicazione della piattaforma, parla di una grave vulnerabilità di sicurezza, che è stata utilizzata da alcuni malintenzionati per eseguire l’esecuzione di codice arbitrario nei server associati ad alcuni siti Web PrestaShop. Sembra che questo problema riguardi solo i negozi vulnerabili a un attacco SQL injection.
E’ stata quindi rilasciata una nuova patch proprio per poter risolvere questa grave problematica. Tutto questo grazie al lavoro congiunto del team di PrestaShop e della community. Si consiglia quindi un aggiornamento immediato al fine di scongiurare attacchi alla sicurezza del proprio store.
PrestaShop ci tiene anche a precisare che la patch risolve la vulnerabilità identificata, tuttavia qualora il tuo negozio fosse già stato attaccato purtroppo la patch non ripristina la sicurezza del tuo sito. Nel malaugurato caso in cui ti trovassi in questa situazione, ti consigliamo di contattare uno specialista per eseguire un audit sul tuo negozio, determinare se è stato attaccato ed eseguire la pulizia, se necessario.
Da parte sua PrestaShop, continuerà a tenere sotto controllo tutte le eventuali vulnerabilità che si potessero presentare, in modo da evitare che gli hacker possano sfruttarle a loro vantaggio.
Se dovesse essere identificato qualsiasi altro problema, PrestaShop lo segnalerà subito.
PrestaShop vuole sottolineare l’importanza di mantenere aggiornati i sistemi per proteggere i negozi dagli attacchi. Ciò significa aggiornare regolarmente sia la piattaforma PrestaShop che i suoi moduli, nonché gli ambienti server.
Indice dei contenuti
Cosa è successo?
Il team di PrestaShop è stato informato del fatto che alcuni hacker stanno sfruttando una combinazione di vulnerabilità di sicurezza note e sconosciute per immettere del codice dannoso nei siti Web PrestaShop, consentendo loro di eseguire istruzioni arbitrarie e potenzialmente di rubare le informazioni di pagamento dei clienti.
Durante l’analisi di questo attacco, sono quindi state rilevate una catena di vulnerabilità precedentemente sconosciute, che però il team di PrestaShop sta risolvendo. Questo problema sembra riguardare negozi basati sulle versioni 1.6.0.10 o successive, soggetti a vulnerabilità di SQL injection. Le versioni 1.7.8.2 e successive non sono vulnerabili a meno che non eseguano un modulo o codice personalizzato che a sua volta include una vulnerabilità SQL injection. Nota anche che le versioni 2.0.0~2.1.0 del modulo Wishlist (blockwishlist) sono vulnerabili.
Come funziona l’attacco?
L’attacco richiede che il negozio sia vulnerabile agli exploit SQL injection. L’ultima versione di PrestaShop e i suoi moduli sembrerebbero privi di queste vulnerabilità. Il team di PrestaShop ritiene che gli aggressori stiano prendendo di mira i negozi che utilizzano software o moduli obsoleti, moduli vulnerabili di terze parti o una vulnerabilità ancora da scoprire.
Il modus operandi ricorrente si presenta così:
- L’autore dell’attacco invia una richiesta POST all’endpoint vulnerabile all’ SQL injection.
- Dopo circa un secondo, l’hacker invia una richiesta GET alla home page, senza parametri. Ciò si traduce in un file PHP chiamato blm.php che viene creato nella radice della directory del negozio.
- L’hacker ora invia una richiesta GET al nuovo file che è stato creato, blm.php, consentendo loro di eseguire istruzioni arbitrarie.
- Dopo che gli hacker hanno ottenuto con successo il controllo di un negozio, hanno iniettato un modulo di pagamento falso nella pagina di pagamento del front-office.
In questo scenario, i clienti del negozio potrebbero quindi inserire i dati della propria carta di credito sul modulo falso e inviarlo inconsapevolmente agli hacker.
Sebbene questo sembri essere lo schema comune, gli aggressori potrebbero utilizzarne uno diverso, inserendo un nome file diverso, modificando altre parti del software, inserendo codice dannoso altrove o persino cancellando le proprie tracce una volta che l’attacco ha avuto successo.
Cosa fare per proteggere il tuo negozio?
Prima di tutto, assicurati che il tuo negozio e tutti i tuoi moduli siano aggiornati all’ultima versione. Ciò dovrebbe impedire al tuo negozio di essere esposto a vulnerabilità di SQL injection note e sfruttate attivamente.
Gli hacker potrebbero utilizzare le funzionalità di archiviazione della cache di MySQL Smarty come parte del vettore di attacco. Questa funzione viene utilizzata raramente ed è disabilitata per impostazione predefinita, ma può essere abilitata in remoto dall’hacker. Fino alla pubblicazione di una patch, si consiglia di disabilitare fisicamente questa funzionalità nel codice di PrestaShop per interrompere la catena di attacco.
Per fare ciò, individua il file config/smarty.config.inc.php sulla tua installazione di PrestaShop e rimuovi le righe 43-46 (PrestaShop 1.7) o 40-43 (PrestaShop 1.6):
if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
$smarty->caching_type = 'mysql';
}Come sapere se sei stato colpito?
Prendi in considerazione la possibilità di esaminare il registro di accesso del tuo server per il modello di attacco spiegato sopra. Questo è un esempio condiviso da un membro della community:
- [14/Jul/2022:16:20:56 +0200] "POST /modules/XXX/XXX.php HTTP/1.1" 200 82772 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14"
- [14/Jul/2022:16:20:57 +0200] "GET / HTTP/1.1" 200 63011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.98 Safari/537.36"
- [14/Jul/2022:16:20:58 +0200] "POST /blm.php HTTP/1.1" 200 82696 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0"(Nota: il percorso del modulo vulnerabile è stato modificato per motivi di sicurezza)
Tieni presente che non trovare questo schema sui tuoi log non significa necessariamente che il tuo negozio non sia stato colpito dall’attacco: la complessità dell’exploit significa che ci sono diversi modi per eseguirlo e gli aggressori potrebbero anche provare a nascondere le proprie tracce .
Prendi in considerazione la possibilità di contattare uno specialista per eseguire un controllo completo del tuo sito e assicurarti che nessun file sia stato modificato né sia stato aggiunto codice dannoso.
Fonte: built.prestashop
Prova Gratis Hosting prestashop Veloce, Ottimizzato, Sicuro
Passa a Bhoost con 30 giorni gratis e migrazione inclusa
Prova gratis 30 giorni
