Vulnerabilità Prestashop Luglio 2022

Il team Prestashop ha reso noto quest’oggi che malintenzionati stanno sfruttando una serie di vulnerabilità note e non note sui server che eseguono Prestashop.

Dalle prime verifiche del team l’attacco sembra essere basato su una catena di SQL injection unite ad un uso improprio della funzionalità di cache Smarty basata sul MySQL, assieme allo sfruttamento di vulnerabilità già note di moduli non aggiornati.

Questo permette agli attaccanti di depositare un file PHP sul server, consentendo di conseguenza l’esecuzione di codice remoto arbitrario, la lettura dei dati e la compromissione dello shop, lo scopo principale dell’attacco risulterebbe essere quello del cosiddetto skimming: l’installazione di un falso modulo di pagamento per carpire i dati delle carte di credito dei clienti al momento del checkout.
Lo stesso tipo di attacco ha colpito centinaia di siti Magento non aggiornati ad inizio 2022.

Le versioni basate su Prestashop 1.7.8.2 o successive non risulterebbero vulnerabili a meno che non eseguano moduli o codice personalizzato che permetta una SQL injection, è stato evidenziato che le versioni 2.0.0 <-> 2.1.0 del modulo nativo blockwishlist risultano vulnerabili.

Il team Prestashop sta testando una versione aggiornata che comprende una patch allo scopo di mitigare il problema.

Qui la comunicazione ufficiale rilasciata da Prestashop.

Come scopro se il mio shop è stato compromesso ?

Poichè questa vulnerabilità è di tipo RCE (remote code execution) , un malintenzionato ha la possibilità di eseguire codice PHP arbitrario sul tuo negozio e cancellare le tracce.

Questo significa che i files sul tuo server possono essere modificati / aggiunti / cancellati in maniera estremamente semplice.

Nel dubbio di una compromissione è necessario verificare i log degli accessi, se si identifica un pattern di attacco compatibile con quanto indicato sopra.

Occorre inoltre controllare la data di modifica dei files e prestare particolare attenzione alla presenza di eventuali files “anomali” non riconducibili ad una installazione standard di Prestashop.

Come ripulisco uno shop infetto ?

In attesa di ulteriori chiarimenti dal team Prestashop, non essendo possibile determinare con esattezza il codice eseguito  dopo l’infezione , l’unica soluzione è quella di ripristinare la propria installazione da una copia backup non infetta e messa successivamente in sicurezza con le dovute precauzioni.

Per i meno esperti ricordiamo che Prestalia è a disposizione nel supportarvi con interventi dedicati legati alla vostra installazione Prestashop , è inoltre disponibile un servizio dedicato per l’aggiornamento Prestashop che consente di mantenere la propria installazione aggiornata all’ultima versione stabile.