Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Vulnerabilidad crítica en tiendas PrestaShop explotada activamente


Los delincuentes informáticos están atacando a sitios web que utilizan la plataforma PrestaShop, aprovechando una cadena de vulnerabilidades previamente desconocidas para realizar una ejecución de código y potencialmente robar la información de pago de los clientes.





El equipo de PrestaShop emitió una advertencia urgente, instando a los administradores de 300.000 tiendas que utilizan su software a revisar su postura de seguridad después de que se descubrieran ataques dirigidos a su plataforma.

El ataque parece afectar las versiones 1.6.0.10 o posteriores de PrestaShop y las versiones 1.7.8.2 o posteriores si ejecutan módulos vulnerables a inyección SQL, como el módulo Wishlist 2.0.0 a 2.1.0. Osea, las versiones 1.7.8.2 y posteriores no son vulnerables a menos que estén ejecutando un módulo o código personalizado que a su vez incluye una vulnerabilidad de inyección SQL y las versiones 2.0.0 a 2.1.0 del módulo Wishlist (BlockWishList) sí son vulnerables (se debe actualizar a 2.1.1).

La vulnerabilidad explotada activamente está siendo rastreada con el identificador CVE-2022-36408.


Detalles del ataque Inyección SQL

El ataque comienza apuntando a un módulo o una versión anterior de la plataforma vulnerable a inyección SQL. El equipo de PrestaShop no ha determinado dónde existen estas fallas en este momento y advirtió que el compromiso también podría ser causado por un componente de terceros.

"Creemos que los atacantes se dirigen a tiendas que utilizan software o módulos obsoletos, módulos de terceros vulnerables o una vulnerabilidad aún por descubrir", explica el aviso de seguridad de PrestaShop.

Para realizar el ataque, los delincuentes envían una solicitud POST a un end-point vulnerable seguida de una solicitud GET sin parámetros a la página de inicio que crea un archivo "blm.php" en el directorio raíz. Este parece ser un web shell que permite a los actores de amenazas ejecutar comandos en el servidor de forma remota.

En muchos casos observados, los atacantes utilizaron esta shell para inyectar un formulario de pago falso en la página de pago de la tienda y robar los datos de la tarjeta de pago de los clientes. Después del ataque, los actores de amenazas remotas borraron sus rastros para evitar que el propietario del sitio se diera cuenta de que habían sido violados.

Actualización de seguridad disponible



Si los atacantes no fueron diligentes con la limpieza de la evidencia, los administradores del sitio comprometido podrían encontrar entradas en los registros de acceso del servidor web en busca de señales de que estaban comprometidos.

Otros signos de compromiso incluyen modificaciones de archivos para agregar código malicioso y la activación del almacenamiento en caché MySQL Smarty, que sirve como parte de la cadena de ataque.

Esta característica está deshabilitada de forma predeterminada, pero PrestaShop ha visto evidencia de que los atacantes la habilitaron de forma independiente, por lo que la recomendación es eliminarla si no es necesaria.

Para hacer eso, ubique el archivo "config/smarty.config.inc.php" en su tienda y elimina las siguientes líneas:

if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') { include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php'; $smarty->caching_type = 'mysql'; }

Finalmente, se debe actualizar todos los módulos usados a la última versión disponible y aplique la actualización de seguridad de PrestaShop lanzada hoy, versión 1.7.8.7. Y, además se recomienda actualizar a BlockWishList 2.1.1.

Esta solución de seguridad fortalece el almacenamiento en caché de MySQL Smarty contra todos los ataques de inyección de código, para aquellos que desean continuar usando la función heredada.

Sin embargo, es importante tener en cuenta que si su sitio ya se vio comprometido, la aplicación de la actualización de seguridad no solucionará el problema. 

El grave fallo de seguridad publicado por Prestashop con un parche recién publicado para la rama 1.7x que según su propia información, afecta a:

Según nuestro conocimiento, este problema parece afectar a las tiendas basadas en las versiones 1.6.0.10 o superiores, sujetas a vulnerabilidades de inyección SQL. Las versiones 1.7.8.2 y posteriores no son vulnerables a menos que estén ejecutando un módulo o código personalizado que a su vez incluye una vulnerabilidad de inyección SQL. Tenga en cuenta que las versiones 2.0.0~2.1.0 del módulo Wishlist (blockwishlist) son vulnerables.

Se acaba de liberar un parche para la rama 1.7X  pero para otras versiones anteriores, seguid esos pasos para la mitigación

 

¿Cómo saber si has sido atacado?

Considera revisar en los logs de acceso del servidor el patrón de ataque explicado anteriormente. Este es un ejemplo compartido por un miembro de la comunidad de PrestaShop:

- [14/Jul/2022:16:20:56 +0200] "POST /modules/XXX/XXX.php HTTP/1.1" 200 82772 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14" - [14/Jul/2022:16:20:57 +0200] "GET / HTTP/1.1" 200 63011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.98 Safari/537.36" - [14/Jul/2022:16:20:58 +0200] "POST /blm.php HTTP/1.1" 200 82696 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0"

«Nota: la ruta del módulo vulnerable ha sido modificada por razones de seguridad.»

Ten en cuenta que no encontrar este patrón en sus registros no significa necesariamente que su tienda no se haya visto afectada por el ataque.

Fuentes:
https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/

https://blog.segu-info.com.ar/2022/07/sitios-de-prestashop-bajo-ataque-por.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.