Vulnerabilità PHPUnit / Prestashop – Xsam Xadoo Bot

E’ notizia di qualche giorno fa che diversi negozi Prestashop sono stati hackerati utilizzando una vulnerabilità nota di alcune versioni di PHPUnit, un componente PHP che permette l’esecuzione di test automatizzati per sviluppatori, presente in diversi moduli.

Sebbene la vulnerabilità riguardi principalmente i moduli distribuiti con Prestashop 1.7, anche le versioni 1.6 possono essere compromesse se sul server sono presenti versioni vulnerabili.

Di seguito quelli già stati identificati come vulnerabili :

OneClick Upgrade (Aggiornamento in 1 click) – Versioni 4.x 
Cart Abandonment Pro (Carrelli Abbandonati) – Versioni 2.0.1 e 2.0.2
PS Checkout (Prestashop Checkout) – Versioni 1.0.8 e 1.0.9
Faceted Search (Ricerca per Aspetti) – Versione 3.0.0

L’investigazione è tuttora in corso ed altri moduli potrebbero a breve essere aggiunti alla lista. Il team di Prestashop è già al lavoro per rimuovere dalle proprie repository e da Addons i moduli ritenuti vulnerabili.

Qui la comunicazione ufficiale rilasciata da Prestashop.

Come verifico se il mio shop è vulnerabile ?

E’ indispensabile controllare i propri moduli , in particolare l’eventuale cartella “vendor” all’interno di essi. Se è presente un’altra cartella nominata “phpunit” e la sua versione e tra quelle ritenute problematiche, questo modulo potrebbe renderti vulnerabile e consentire ad un malintenzionato l’accesso ai files del tuo shop e il caricamento di malware.

Come mi proteggo ?

Sebbene le versioni vulnerabili di PHPUnit siano solamente alcune, è in ogni caso possibile cancellare in tutta sicurezza la cartella /vendor/phpunit da qualsiasi moduli senza comprometterne il funzionamento.

Attenzione : questo non esclude che il proprio shop possa già essere stato compromesso.

Come scopro se il mio shop è stato compromesso ?

Poichè questa vulnerabilità è di tipo RCE (remote code execution) , un malintenzionato ha la possibilità di eseguire codice PHP arbitrario sul tuo negozio.

Questo significa che i files sul tuo server possono essere modificati / aggiunti / cancellati in maniera estremamente semplice.

Occorre pertanto controllare la data di modifica dei files e prestare particolare attenzione alla presenza di eventuali files “anomali” non riconducibili ad una installazione standard di Prestashop.

Come ripulisco uno shop infetto ?

Non essendo possibile determinare con esattezza il codice eseguito  dopo l’infezione , l’unica soluzione è quella di ripristinare la propria installazione da una copia backup non infetta e messa successivamente in sicurezza con le precauzioni indicate sopra.

Per i meno esperti ricordiamo che Prestalia è a disposizione nel supportarvi con interventi dedicati legati alla vostra installazione Prestashop , è inoltre disponibile un servizio dedicato per l’aggiornamento Prestashop che consente di mantenere la propria installazione aggiornata all’ultima versione stabile.