Los piratas informáticos se dirigen a sitios web que utilizan la plataforma PrestaShop y utilizan una cadena de vulnerabilidades previamente desconocida para ejecutar código y potencialmente robar la información de pago de los clientes.
El equipo de PrestaShop emitió una alerta urgente el viernes pasado, instando a los administradores de 300 000 tiendas que usan el software de PrestaShop a revisar sus configuraciones de seguridad luego de que se descubrieran ataques cibernéticos en la plataforma.
El ataque parece afectar las versiones de PrestaShop 1.6.0.10 o posteriores y las versiones 1.7.8.2 o posteriores cuando se ejecutan módulos vulnerables a la inyección SQL como: B. el módulo Wishlist 2.0.0 a 2.1.0.
La vulnerabilidad explotada activamente se rastrea con el identificador CVE-2022-36408.
detalles del ataque
El ataque comienza apuntando a un módulo o una versión anterior de la plataforma que es vulnerable a las vulnerabilidades de inyección SQL. El equipo de PrestaShop aún no ha determinado dónde existen estos errores y advierte que el compromiso también podría ser causado por un componente de terceros.
«Creemos que los atacantes se dirigen a tiendas que utilizan software o módulos obsoletos, módulos de terceros vulnerables o una vulnerabilidad aún por descubrir», explica el aviso de seguridad de PrestaShop.
Para realizar el ataque, los piratas informáticos envían una solicitud POST a un punto final vulnerable, seguida de una solicitud GET sin parámetros a la página de inicio, que crea un archivo «blm.php» en el directorio raíz.
El archivo blm.php parece ser un shell web que permite a los atacantes ejecutar comandos de forma remota en el servidor.
En muchos casos observados, los atacantes utilizaron este shell web para insertar un formulario de pago falso en la página de pago de la tienda y robar los datos de la tarjeta de pago de los clientes.
Después del ataque, los actores de amenazas remotas eliminaron sus pistas para evitar que el propietario del sitio web se diera cuenta de que habían sido violadas.
Actualización de seguridad publicada
Si los atacantes no tenían cuidado al limpiar la evidencia, los administradores de los sitios comprometidos podrían mirar las entradas en los registros de acceso del servidor web para encontrar señales de que estaban comprometidos.
Otros signos de compromiso incluyen modificaciones de archivos para adjuntar código malicioso y la activación de la memoria caché MySQL Smarty, que sirve como parte de la cadena de ataque.
Esta función está deshabilitada de forma predeterminada, pero PrestaShop encontró evidencia de que los piratas informáticos la habilitaron de forma independiente, por lo que se recomienda eliminarla si no es necesaria.
Para hacer esto, ubique el archivo «config/smarty.config.inc.php» en su tienda y elimine las siguientes líneas:
Finalmente, actualice todos los módulos usados a la última versión disponible e instale la actualización de seguridad de PrestaShop versión 1.7.8.7 lanzada hoy.
Esta solución de seguridad fortalece la memoria caché de MySQL Smarty contra todos los ataques de inyección de código para aquellos que desean seguir usando la función heredada.
Sin embargo, es importante tener en cuenta que la aplicación de la actualización de seguridad no solucionará el problema si su sitio web ya se ha visto comprometido.
