Se ha advertido a los administradores de sitios de comercio electrónico que utilizan la plataforma PrestaShop de código abierto que actualicen la aplicación de inmediato para cerrar las vulnerabilidades críticas.
PrestaShop dice que fue el primero en enterarse de que los piratas informáticos están explotando una combinación de vulnerabilidades conocidas y desconocidas para inyectar código malicioso en los sitios web de PrestaShop, lo que les permite ejecutar instrucciones arbitrarias y potencialmente robar la información de pago de los clientes. Al investigar este ataque, la empresa encontró una cadena de vulnerabilidades previamente desconocida que también podría estar involucrada.
«Hasta donde sabemos, este problema parece afectar a las tiendas basadas en las versiones 1.6.0.10 o posteriores, sujetas a vulnerabilidades de inyección SQL», dice la alerta. «Las versiones 1.7.8.2 y posteriores no son vulnerables a menos que ejecuten un módulo o código personalizado que en sí mismo contenga una vulnerabilidad de inyección SQL. Tenga en cuenta que las versiones 2.0.0~2.1.0 del módulo Wishlist (blockwishlist) son vulnerables».
La última versión de la aplicación, lanzada el lunes, soluciona una vulnerabilidad en la función de caché de MySQL Smarty.
PrestaShop tiene la mayoría de usuarios en Europa y América Latina, pero hay tiendas online en Canadá y Estados Unidos
La advertencia indica que los ataques suelen proceder así:
- El atacante envía una solicitud POST al punto final vulnerable a la inyección SQL.
- Después de aproximadamente un segundo, el atacante envía una solicitud GET sin parámetros a la página de inicio. Esto creará un archivo PHP llamado blm.php en el directorio raíz de la tienda.
- El atacante ahora envía una solicitud GET al archivo blm.php recién creado y puede usarlo para ejecutar cualquier instrucción.
Después de tomar con éxito el control de una tienda, un atacante insertó un formulario de pago falso en la página de pago de la oficina principal. En este escenario, los clientes de la tienda podrían ingresar la información de su tarjeta de crédito en un formulario falso y, sin saberlo, enviársela a los atacantes.
Los atacantes también podrían colocar un nombre de archivo diferente en la aplicación, modificar otras partes del software, inyectar código malicioso o incluso borrar sus huellas una vez que el ataque tuvo éxito, agrega la advertencia.
Como primera defensa, asegúrese de que su tienda y todos los módulos estén actualizados a la última versión, aconseja PrestaShop.
Los atacantes podrían usar las capacidades de almacenamiento en caché de MySQL Smarty como parte del vector de ataque, dijo. Esta característica rara vez se usa y está deshabilitada de forma predeterminada, pero el atacante puede habilitarla de forma remota. PrestaShop 1.7.8.7 se lanzó para fortalecer el caché de MySQL Smarty contra los ataques de inyección de código.
Vea el Consejo de PretaShop para más detalles. También explica cómo los administradores pueden determinar si su sitio ha sido comprometido.
