Hackers exploraram uma falha zero-day do PrestaShop para invadir lojas online

Segundo um comunicado de segurança da PrestaShop, alguns hackers exploraram uma falha zero-day do PrestaShop para invadir lojas online.

Sim. Os hackers estão atacando sites usando a plataforma PrestaShop, aproveitando uma cadeia de vulnerabilidades anteriormente desconhecida para executar a execução de código e potencialmente roubar informações de pagamento dos clientes.

Hackers exploraram uma falha zero-day do PrestaShop para invadir lojas online

Hackers exploraram uma falha zero-day do PrestaShop para invadir lojas online
Hackers exploraram uma falha zero-day do PrestaShop para invadir lojas online

A equipe PrestaShop emitiu um aviso urgente na sexta-feira passada, pedindo aos administradores de 300.000 lojas que usam seu software para revisar sua postura de segurança depois que ataques cibernéticos foram descobertos visando a plataforma.

O ataque parece afetar as versões 1.6.0.10 ou posteriores do PrestaShop e as versões 1.7.8.2 ou posteriores se executarem módulos vulneráveis ​​à injeção de SQL, como o módulo Wishlist 2.0.0 a 2.1.0.

A vulnerabilidade explorada ativamente está sendo rastreada com o identificador CVE-2022-36408.

O ataque começa visando um módulo ou uma versão de plataforma mais antiga vulnerável a explorações de injeção de SQL. A equipe do PrestaShop não determinou onde essas falhas existem no momento e alertou que o comprometimento também pode ser causado por um componente de terceiros.

“Acreditamos que os invasores estão atacando lojas que usam software ou módulos desatualizados, módulos de terceiros vulneráveis ​​ou uma vulnerabilidade ainda a ser descoberta”, explica o comunicado de segurança da PrestaShop.

Para conduzir o ataque, os hackers enviam uma solicitação POST para um endpoint vulnerável seguido por uma solicitação GET sem parâmetros para a página inicial que cria um arquivo “blm.php” no diretório raiz.

O arquivo blm.php parece ser um shell da web que permite que os agentes de ameaças executem comandos no servidor remotamente.

Em muitos casos observados, os invasores usaram esse web shell para injetar um formulário de pagamento falso na página de checkout da loja e roubar os detalhes do cartão de pagamento dos clientes.

Após o ataque, os agentes de ameaças remotas limparam seus rastros para evitar que o proprietário do site percebesse que eles foram violados.

Lançada uma atualização de segurança

Se os invasores não forem diligentes com a limpeza das evidências, os administradores de sites comprometidos poderão encontrar entradas nos logs de acesso do servidor da Web para sinais de que foram comprometidos.

Outros sinais de comprometimento incluem modificações de arquivo para anexar código malicioso e a ativação do armazenamento em cache MySQL Smarty, que serve como parte da cadeia de ataque.

Esse recurso está desabilitado por padrão, mas o PrestaShop viu evidências de que os hackers o habilitaram de forma independente, portanto, a recomendação é removê-lo se não for necessário.

Para isso, localize o arquivo “config/smarty.config.inc.php” em sua loja e exclua as seguintes linhas:

Hackers exploraram uma falha zero-day do PrestaShop para invadir lojas online
Hackers exploraram uma falha zero-day do PrestaShop para invadir lojas online – Linhas a serem removidas do componente da plataforma

Por fim, atualize todos os módulos usados ​​para a versão mais recente disponível e aplique a atualização de segurança PrestaShop lançada recentemente, versão 1.7.8.7.

Essa correção de segurança fortalece o armazenamento em cache do MySQL Smarty contra todos os ataques de injeção de código, para aqueles que desejam continuar usando o recurso legado.

No entanto, é importante observar que, se o seu site já tiver sido comprometido, a aplicação da atualização de segurança não resolverá o problema.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.