PrestaShop, un desarrollador de software program de comercio electrónico de código abierto utilizado por cientos de miles de pequeños minoristas independientes para potenciar su presencia en línea, advirtió sobre una vulnerabilidad grave que podría permitir a los atacantes ejecutar código arbitrario y robar, si no una tarjeta de fidelización fija. datos.
La vulnerabilidad, rastreada como CVE-2022-36408, salió a la luz por primera vez cuando PrestaShop se dio cuenta de que los ciberdelincuentes estaban explotando «una combinación de vulnerabilidades conocidas y desconocidas» para inyectar código malicioso en los sitios internet que dependen de la plataforma.
En el curso de esta investigación, el equipo encontró una cadena de vulnerabilidades previamente desconocida que, según el conocimiento de la empresa, afecta a las tiendas basadas en las versiones 1.6.8.10 o superior y son vulnerables a los ataques de inyección SQL. Tenga en cuenta que las versiones 1.7.8.2 y posteriores no son vulnerables a menos que ejecuten módulos o código personalizado que en sí mismo contenga una vulnerabilidad de inyección SQL.
“Para que ocurra el ataque, la tienda debe ser weak a las vulnerabilidades de inyección SQL. Hasta donde sabemos, la última versión de PrestaShop y sus módulos están libres de estas vulnerabilidades. Creemos que los atacantes se dirigen a tiendas que utilizan software program o módulos obsoletos, módulos de terceros vulnerables o una vulnerabilidad aún por descubrir”, dijo PrestaShop en un aviso publicado el 22 de julio.
A pesar de esta incertidumbre, su investigación ha identificado un patrón de ataque recurrente. Primero, el atacante envía una solicitud POST al punto closing weak. Luego recibirá una solicitud GET a la página de inicio sin parámetros, lo que resultará en la creación de un archivo PHP en el directorio raíz de la tienda. Desde allí, pueden enviar una solicitud GET a este nuevo archivo, lo que les permite ejecutar código arbitrario.
Una vez que esto se logra, el atacante puede insertar un formulario de pago falso en la página de pago de la víctima, lo que le permite robar los detalles de la tarjeta de crédito del cliente.
«La evidencia que muestra cómo los piratas informáticos están explotando la plataforma PrestaShop es un claro recordatorio de que las plataformas deben actualizarse regularmente para garantizar que estén aprovechando los beneficios de seguridad más recientes».
Michael Tanaka, Miracle
Los minoristas que utilizan la plataforma PrestaShop deben asegurarse de inmediato de que sus sitios internet y todos los módulos estén actualizados a la última versión, lo que debería evitar que estén expuestos a cualquier error de inyección de SQL conocido o explotado activamente.
El proveedor agregó que es posible que los atacantes exploten la función de memoria caché de MySQL Smarty que rara vez se usa (que está deshabilitada de forma predeterminada pero se puede habilitar de forma remota) en su vector de ataque, por lo que los usuarios también pueden implementar físicamente la función en el código de querer deshabilitar PrestaShop. cortar este método en specific.
Más información, incluidos los Indicadores de Compromiso (IoC), está disponible en PrestaShop.
Chris Hauk, defensor de la privacidad del consumidor en Cyber Safety Steerage y especialista en privacidad en línea Pixel Privateness, dijo que las políticas de PrestaShop deben implementarse con urgencia.
“Los usuarios de PrestaShop deben deshabilitar la función utilizada para este exploit para romper esta cadena de ataques. Esto subraya la necesidad de que los administradores del sitio actualicen sus sistemas a la última versión de los sistemas operativos, bases de datos y aplicaciones”, dijo Hauk.
Michael Tanaka, director comercial del proveedor de autenticación multifactor (MFA) Miracl, agregó: «La evidencia de hoy de cómo los piratas informáticos están explotando la plataforma PrestaShop es un claro recordatorio de que las plataformas deben actualizarse periódicamente para garantizar que está tomando Benefíciese de los últimos beneficios de seguridad.
“No solo parches de mantenimiento, sino también nuevas tecnologías como pruebas y registros de conocimiento cero. [ZKPs] que minimicen el uso de datos personales protegerán aún más cualquier plataforma contra los ataques”, dijo Tanaka.
