Éste sitio web usa cookies, si permanece aquí acepta su uso. Puede leer más sobre el uso de cookies en nuestra política de cookies.   


Problema de vulnerabilidad, seguridad en las tiendas online PrestaShop. Detectado en julio de 2022.

Permite a los atacantes tomar el control de la tienda e introducir un formulario de pago falso para recabar datos de tarjetas de crédito de tus clientes.

 

En el mes de julio de 2022 el equipo de mantenimiento de PrestaShop ha sido consciente de un problema de seguridad en las webs PrestaShop, que permite ejecutar instrucciones arbitrarias para tomar el control de una tienda y obtener información de medios de pago de clientes. 

Afecta a las versiones 1.6.0.10 o superiores. 
No afecta a las versiones 1.7.8.2 y posteriores, a menos que tengas instalado un módulo o código personalizado que incluya la vulnerabilidad de inyección SQL
. Las versiones 2.0.0 a 2.1.0 del módulo Wishlist (usado para tener una lista de deseos en tu tienda) son vulnerables. 


Detalle del problema de seguridad. Cómo funciona:


El proceso del ataque es el siguiente: 

  1. El atacante envía una solicitud POST al fragmento de código vulnerable a la inyección SQL.

  2. Pasado un segundo, envía una solicitud GET a la página de inicio sin parámetros. Esto consigue que se genere un archivo PHP llamado blm.php en el directorio raíz de la tienda. 

  3. El atacante manda una solicitud GET al nuevo archivo, blm.php donde ejecuta instrucciones para modificar la tienda. 


Con este ataque, los hackers cambiaron el formulario de pago para obtener datos de cobro de clientes de una tienda. 

Este ha sido el ejemplo reportado a PrestaShop por una tienda, pero los atacantes podrían cambiar el nombre del archivo creado, y ejecutar otro tipo de cambios en tu tienda. 

 

Como proteger tu tienda. Resolver el problema de seguridad: 

Trata de actualizar tu tienda y todos sus módulos a la última versión. Esto evita que tu tienda pueda ser atacada con una inyección SQL como hemos visto anteriormente. 

Instala el parche de seguridad que ya está disponible aquí:

Si no puedes instalar el parche, puedes deshabilitar la función de almacenamiento en caché de MySQL Smarty. Para hacerlo, ver al archivo: 
config/smarty.config.inc.php en su instalación de PrestaShop y elimina las lineas 43-46 (PrestaShop 1.7) o 40-43  (PrestaShop 1.6), borrando este código: 


if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
    include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
    $smarty->caching_type = 'mysql';
}

codigo borrar seguridad PrestaShop

Este parche soluciona el problema de vulnerabilidad descrito, pero si una tienda ya ha sido infectada no garantiza la seguridad de la misma. Para garantizarlo se debe hacer una auditoria del sitio por parte de un especialista para detectar posible código malicioso y limpiarlo. 

Contacte con nosotros si necesita ayuda con ese proceso o tiene dudas sobre la seguridad de su tienda. 



Como saber si mi tienda se ha visto vulnerada: 


Para saber si tu web ha sufrido un ataque puedes buscar el archivo blm.php en el directorio raíz de tu tienda, pero recuerda que los hackers pueden cambiar el nombre de ese archivo. 

También puedes buscar un patrón de ataque como el que hemos comentado de tres puntos, aquí vemos un ejemplo compartido por un miembro de la comunidad PrestaShop: 


- [14/Jul/2022:16:20:56 +0200] "POST /modules/XXX/XXX.php HTTP/1.1" 200 82772 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14"

- [14/Jul/2022:16:20:57 +0200] "GET / HTTP/1.1" 200 63011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.98 Safari/537.36"

- [14/Jul/2022:16:20:58 +0200] "POST /blm.php HTTP/1.1" 200 82696 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0"

(Nota: la ruta del módulo vulnerable ha sido modificada por razones de seguridad)

Pero igual que pueden variar el nombre del archivo en el directorio raíz, también podrían cambiar el patrón, tiempo, del ataque.

Por tanto, la mejor garantía es consultar con un experto PrestaShop para auditar la web y eliminar posible código añadido. También es recomendable para actualizar los módulos y versión de PrestaShop sin comprometer el funcionamiento de la tienda. 

Si necesitas ayuda, contacta con nosotros, te asesoraremos y valoraremos tu caso sin compromiso y con total confidencialidad. 

Contacta con nosotros aquí.


Contacto

info@artdinamica.com - 91 776 13 22
Carretera de Vicálvaro a la Estación de O'Donnell, 2A 3L - 28032 - Madrid Ver mapa
Partner Prestashop Agencia