Los actores de Thera explotan una vulnerabilidad de día cero para robar información de pago de sitios web que utilizan la plataforma de comercio electrónico de código abierto PrestaShop.
Los actores de amenazas se dirigen a sitios web que utilizan la plataforma de comercio electrónico PrestaShop de código abierto al explotar una falla de día cero, rastreada como CVE-2022-36408, que puede permitir la ejecución de código arbitrario y posiblemente robar información de pago de los clientes.
Actualmente, PrestaShop es utilizado por 300.000 tiendas en todo el mundo y está disponible en 60 idiomas diferentes.
La vulnerabilidad afecta las versiones 1.6.0.10 o posteriores de PrestaShop y las versiones 1.7.8.2 o posteriores que ejecutan módulos vulnerables a la inyección de SQL (por ejemplo, el módulo Wishlist 2.0.0 a 2.1.0).
«Se ha informado al equipo de mantenimiento que los actores malintencionados están explotando una combinación de vulnerabilidades conocidas y desconocidas para inyectar código malicioso en los sitios web de PrestaShop, lo que les permite ejecutar instrucciones arbitrarias y potencialmente robar información de pago de los clientes», se lee en el Aviso publicado por mantenedores de PrestShop. «Al investigar este ataque, encontramos una cadena de vulnerabilidades previamente desconocida que estamos solucionando».
Los actores de amenazas se dirigen a tiendas en línea que ejecutan software o módulos obsoletos, o módulos de terceros afectados por vulnerabilidades conocidas o errores de día cero.
A continuación se muestra la cadena de ataque reconstruida por los expertos que estudiaron los ataques:
- El atacante envía una solicitud POST al punto final vulnerable a la inyección SQL.
- Después de aproximadamente un segundo, el atacante envía una solicitud GET sin parámetros a la página de inicio. Esto creará un archivo PHP llamado blm.php en el directorio raíz de la tienda.
- El atacante ahora envía una solicitud GET al archivo blm.php recién creado y puede usarlo para ejecutar cualquier instrucción.
Una vez que los atacantes se apoderaron de la tienda en línea, insertaron un formulario de pago falso en la página de pago de la oficina principal para robar la información de la tarjeta de crédito cuando los visitantes realizan compras.
Los investigadores proporcionaron pistas sobre cómo comprometer estos ataques, como habilitar el almacenamiento en caché de MySQL Smarty.
«Tenga en cuenta que la ausencia de este patrón en sus registros no significa necesariamente que su tienda no se vea afectada por el ataque: debido a la complejidad del exploit, existen múltiples formas de ejecutarlo y los atacantes también podrían intentar ocultar las suyas. . «Huellas», concluye el informe.
Los administradores deben instalar PrestaShop versión 1.7.8.7.
Sigueme en Twitter: @Preguntas de seguridad Y Facebook
| [adrotate banner=”9″] | [adrotate banner=”12″] |
Pierluigi Paganini
(cuestiones de seguridad – piratería informática, CMS)
[adrotate banner=”5″]
[adrotate banner=”13″]
Sigue compartiendo
