• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Atacantes explotan activamente vulnerabilidad de RCE en el CMS PrestaShop

Atacantes explotan activamente vulnerabilidad de RCE en el CMS PrestaShop

28 julio, 2022 Por Adrián Vidal Deja un comentario

Ciberdelincuentes encuentran la manera de utilizar una vulnerabilidad de inyección de SQL para ejecutar código remoto en servidores que contienen sitios web de PrestaShop.

El equipo de PrestaShop ha sido informado de que atacantes están explotando una combinación de vulnerabilidades conocidas y desconocidas para inyectar código malicioso en los sitios web de PrestaShop.

Mientras investigamos este ataque, encontramos una cadena de vulnerabilidad desconocida que estamos solucionando. Por el momento no podemos estar seguros que sea la única forma de que puedan realizar el ataque.

Según indican, el problema parece afectar a tiendas basadas en las versiones 1.6.0.10 o superiores, sujetas a vulnerabilidades SQLi (inyección SQL). Las versiones 1.7.8.2 y posteriores no son vulnerables a menos que se esté explotando un módulo o código personalizado que incluya una vulnerabilidad de SQLi.

«Tenga en cuenta que las versiones 2.0.0~2.1.0 del módulo Wishlist (blockwishlist) son vulnerables.»

¿Cómo funciona el ataque?

El ataque requiere que la web sea vulnerable a ataques de inyección SQL. Hasta donde sabemos, la última versión de PrestaShop y sus módulos están libre de esta vulnerabilidad por lo que atacantes podrían dirigir sus esfuerzos en atacar tiendas que utilizan software o módulos obsoletos.

De acuerdo con lo que indican propietarios de tiendas afectadas por los ataques el «modelo» de ataque sería el siguiente:

  1. El atacante envía una solicitud POST (no revelada) a la ruta vulnerable a SQLi.
  2. Después de un segundo el atacante envía una solicitud GET a la raíz de la web, sin parámetros. Esto hace que se cree un archivo PHP «blm.php» en la raíz de la tienda.
  3. El atacante envía una solicitud GET a este archivo, consiguiendo ejecutar código remoto.

Después de que los atacantes obtuvieran con éxito el control de la tienda, crearon un formulario de pago falso en la página oficial, con el fin de robar los datos de las tarjetas de créditos de los clientes.

«Si bien este parece ser el patrón común los atacantes podrían utilizar otra vía, modificar el nombre del archivo creado o incluso eliminar sus huellas una vez finalice su ataque.»

¿Cómo mitigar la vulnerabilidad?

En primer lugar, actualizar la tienda y todos sus módulos a la última versión. Esto debería evitar que su tienda quede expuesta a vulnerabilidades de SQLi conocidas.

Tal como indican desde PrestaShop, los atacantes podrían estar utilizando las funciones de almacenamiento de caché de MySQL Smarty como parte del vector de ataque. Esta característica no suele usarse y de hecho viene deshabilitada por defecto, sin embargo un atacante podría habilitarla de forma remota. Actualmente no existe un parche para corregir este problema, por lo que se recomienda deshabilitar esta función en el código de PrestaShop.

Para hacerlo, busque el archivo config/smarty.config.inc.php y elimine las siguientes líneas:

if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
    include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
    $smarty->caching_type = 'mysql';
}

¿Cómo saber si has sido atacado?

Considere revisar en los logs de acceso del servidor el patrón de ataque explicado anteriormente. Este es un ejemplo compartido por un miembro de la comunidad de PrestaShop:

- [14/Jul/2022:16:20:56 +0200] "POST /modules/XXX/XXX.php HTTP/1.1" 200 82772 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14"
 
- [14/Jul/2022:16:20:57 +0200] "GET / HTTP/1.1" 200 63011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.98 Safari/537.36"
 
- [14/Jul/2022:16:20:58 +0200] "POST /blm.php HTTP/1.1" 200 82696 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0"

«Nota: la ruta del módulo vulnerable ha sido modificada por razones de seguridad.»

Tenga en cuenta que no encontrar este patrón en sus registros no significa necesariamente que su tienda no se haya visto afectada por el ataque.

Adicionalmente desde PrestaShop recomiendan contactar a un especialista para realizar una auditoría completa a su sitio y asegurarse de que no se haya modificado ningún archivo ni se haya agregado ningún código malicioso.

El día 25/07/2022 se lanzó la versión 1.7.8.7 de PrestaShop para reforzar la seguridad del almacenamiento en caché de MySQL Smarty contra ataques de inyección de código.

Más información:

  • https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/
  • https://thehackernews.com/2022/07/hackers-exploit-prestashop-zero-day-to.html

Acerca de Adrián Vidal

Adrián Vidal Ha escrito 14 publicaciones.

Responsable del departamento de auditoría de Hispasec y jugador de CTF en el equipo español Flaggermeister.

  • View all posts by Adrián Vidal →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Ataques, General, Vulnerabilidades Etiquetado como: ataques

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Campañas de phishing utilizan Flipper Zero como cebo
  • Hydra, el malware que afecta tanto a entidades bancarias como a exchange de criptomonedas
  • Tamagotchi para hackers: Flipper Zero
  • USB Killer, el enchufable que puede freir tu equipo
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR
 

Cargando comentarios...