Ataques a sitios web de PrestaShop
Los piratas informáticos están aprovechando una cadena de vulnerabilidades previamente desconocida en la plataforma PrestaShop para atacar sitios web y potencialmente robar la información de pago de los clientes. El equipo de PrestaShop emitió una advertencia urgente a los administradores de 300.000 tiendas que utilizan su software, instándolos a revisar sus medidas de seguridad después de descubrirse ciberataques a la plataforma.
Estos ataques parecen afectar a las versiones de PrestaShop 1.6.0.10 o posteriores y 1.7.8.2 o posteriores cuando se ejecutan módulos vulnerables a la inyección SQL, como el módulo Wishlist 2.0.0 a 2.1.0. La vulnerabilidad explotada activamente se identifica como CVE-2022-36408.
Detalles del ataque y cómo se lleva a cabo
En estos ataques, los piratas informáticos envían una solicitud POST a un punto final vulnerable, seguida de una solicitud GET sin parámetros a la página de inicio. Esto crea un archivo llamado «blm.php» en el directorio raíz, que actúa como un shell web que permite a los atacantes ejecutar comandos de forma remota en el servidor.
Una vez que tienen acceso, los ciberdelincuentes han utilizado este shell web para inyectar un formulario de pago falso en la página de pago de la tienda y robar los datos de la tarjeta de pago de los clientes. Después del ataque, cubren sus huellas para evitar que el propietario del sitio web se dé cuenta de lo sucedido.
Actualización de seguridad y medidas a tomar
Si un sitio comprometido no ha sido limpiado adecuadamente por los atacantes, los administradores podrían encontrar entradas en los registros de acceso al servidor web que indiquen que fueron comprometidos. Otros signos de compromiso incluyen modificaciones de archivos para insertar código malicioso y la activación del caché MySQL Smarty, que forma parte de la cadena de ataque.
Para protegerse, se recomienda actualizar todos los módulos utilizados a la última versión disponible y aplicar la actualización de seguridad de PrestaShop, versión 1.7.8.7. Esta actualización fortalece la caché de MySQL Smarty contra ataques de inyección de código. Además, se aconseja eliminar la función cuando no sea necesaria, buscando y eliminando las líneas específicas en el archivo «config/smarty.config.inc.php».
Recomendaciones adicionales
Además de actualizar el software y aplicar las medidas de seguridad recomendadas, es importante estar atento a posibles signos de compromiso en el sitio web. Esto incluye monitorear activamente los registros de acceso al servidor y realizar auditorías de seguridad periódicas para detectar posibles vulnerabilidades.
En caso de verse comprometido, es fundamental actuar rápidamente para limpiar el sitio y mitigar cualquier daño potencial. Esto puede implicar restablecer contraseñas, revisar y eliminar archivos maliciosos, y notificar a los clientes afectados, entre otras acciones.
Conclusión
La seguridad en línea es un aspecto crucial para cualquier negocio que opere en el entorno digital. Con la creciente sofisticación de los ciberataques, es fundamental que las empresas tomen medidas proactivas para proteger sus sitios web y la información de sus clientes. Al mantenerse informado sobre las últimas amenazas y vulnerabilidades, y seguir las mejores prácticas de seguridad, es posible reducir significativamente el riesgo de sufrir ataques cibernéticos.
Si te ha parecido útil este contenido, compártelo con otros propietarios de tiendas en línea y administradores de sitios web para ayudarles a protegerse contra posibles ataques. La seguridad cibernética es una responsabilidad compartida, y al trabajar juntos podemos crear un entorno en línea más seguro y protegido para todos.
