Poważna luka w zabezpieczeniach witryn PrestaShop

1 lat temu 42

Twój sklep na PrestaShop działa w oparciu o wersję 1.6.0.10 lub nowszą? Sprawdź, koniecznie czy Twoi klienci mogą bezpiecznie korzystać z usług. Twórcy oprogramowania PrestaShop wydali komunikat, w którym informują o wykrytej luce bezpieczeństwa w starszej wersji oprogramowania i przestrzegają przed nasilonymi atakami cyberprzestępców.

Poważna luka w zabezpieczeniach PrestaShop

PrestaShop poinformował o wykrytej luce w oprogramowaniu, poprzez którą możliwe jest wstrzyknięcie złośliwego kodu przez cyberprzestępców i tym samym dokonanie przez nich kradzieży tożsamości klientów – począwszy od jej bazy, adresów, skończywszy na numerze karty kredytowej.

Z opublikowanych ostatnio informacji, wynika, że atakujący znaleźli sposób na ominięcie zabezpieczeń i wykorzystanie napotkanej luki do wstrzyknięcia złośliwego kodu na serwerach, na których funkcjonują witryny PrestaShop. Może on umożliwić na przykład przechwycenie danych podawanych podczas płatności.

Problem ten może dotyczyć sklepów opartych na wersji 1.6.0.10 lub nowszych, które są objęte lukami w iniekcjach SQL. Wersje 1.7.8.2 i nowsze nie są podatne, chyba że uruchamiają moduł lub niestandardowy kod, który sam zawiera lukę typu SQL injection.

Jak przebiega atak?

Aby atak został przeprowadzony skutecznie, sklep musi być podatny na ataki typy SQL injection. Najnowsze wersje oprogramowania są wolne od błędów, a sytuacja może dotyczyć sklepów, które korzystają ze starszych wersji oprogramowania bądź modułów stron trzecich lub jeszcze nieodkrytej luki.

Z obserwacji PrestaShop scenariusz wygląda następująco:

1. Atakujący przesyła żądanie POST do punktu końcowego podatnego na wstrzyknięcie SQL.
2. Następnie, zaledwie sekundę później, atakujący przesyla na stronę główną żądanie GET bez parametrów. To sprawia, że zostaje stworzony plik PHP o nazwie blm.php w głównym katalogu sklepu. Żądanie GET jest teraz przesyłane do tego nowego utworzonego pliku, umożliwiając jednocześnie wykonanie dowolnych instrukcji.
3. Atakujący przejmuje kontrolę nad działaniem sklepu. Modyfikuje formę płatności. Niczego nie świadomy Klient wprowadzając informacje o swojej karcie kredytowej w fałszywym formularzu naraża swoją tożsamość na niebezpieczeństwo.

W tym scenariuszu klienci sklepu mogą wprowadzić informacje o swojej karcie kredytowej w fałszywym formularzu i nieświadomie wysłać je atakującym.

Taka sama sytuacja może dotyczyć innych informacji i danych Twojego sklepu. Poprzez umieszczenie innej nazwy pliku, atakujący mogą modyfikować kolejne części oprogramowania, poprzez wstrzykiwanie złośliwego kodu w innym miejscu, precyzyjnie zacierając po tym zdarzeniu ślad.

Co zrobić, aby Twój sklep był bezpieczny?

Po pierwsze sprawdź z jakich wersji oprogramowania korzystasz. Twój sklep i wszystkie moduły powinny być zaktualizowane do najnowszej wersji.

Jak czytamy w oficjalnym komunikacje PrestaShop, atakujący mogą używać funkcji przechowywania pamięci podręcznej MySQL Smarty jako części ataku. Pomimo jej znikomej aktywności i domyślnym wyłączeniu, mogą ją uruchomić zdalnie. Do momentu rozwiązania sytuacji, zalecane jest wyłączenie tej funkcji w kodzie PrestaShop.

Jak to zrobić?

Zlokalizuj plik config/smarty.config.inc.php w swojej instalacji PrestaShop i usuń wiersze 43-46 (PrestaShop 1.7) lub 40-43 (PrestaShop 1.6).

https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/

Jak sprawdzić czy zostałeś zaatakowany?

W ramach wyżej przestawionego scenariusza, możesz przejrzeć dziennik dostępu serwera.

Musimy zdawać sobie sprawę, że złożoność wykrytej luki umożliwia wstrzyknięcie złośliwego kodu na co najmniej kilka sposobów. Jednocześnie osoby atakujące sprytnie zacierają ślady swojej aktywności.

Aby wzmocnić pamięć podręczną MySQL Smarty przed atakami wstrzykiwania kodu – wydano PrestaShop 1.7.8.7. Ważne jest aktualizowanie systemu, aby zapobiec takim atakom – czyli regularne aktualizowanie zarówno oprogramowania PrestaShop, jego modułów, jak i środowiska serwerowego.

Źródło
oficjalny komunikat PrestaShop

Artykuł Poważna luka w zabezpieczeniach witryn PrestaShop pochodzi z serwisu cyber_Folks.

Czytaj więcej