PrestaShop, un desarrollador de software de comercio electrónico de código abierto utilizado por cientos de miles de pequeños minoristas independientes como base de su presencia en línea, advirtió sobre una grave vulnerabilidad que, si no se soluciona, permitiría a los atacantes lograr la ejecución de código arbitrario y robar datos de la tarjeta del cliente.
Rastreada como CVE-2022-36408, la vulnerabilidad salió a la luz por primera vez cuando PrestaShop se dio cuenta de que los ciberdelincuentes estaban explotando “una combinación de vulnerabilidades de seguridad conocidas y desconocidas” para inyectar código malicioso en sitios web que dependen de la plataforma.
En el curso de esta investigación, su equipo encontró una cadena de vulnerabilidad previamente desconocida que afecta, según el leal saber y entender de la empresa, tiendas creadas con versiones 1.6.8.10 o superiores que son vulnerables a ataques de inyección SQL. Tenga en cuenta que las versiones 1.7.8.2 y superiores no son vulnerables a menos que ejecuten módulos o código personalizado que incluya una vulnerabilidad de inyección SQL.
“El ataque requiere que la tienda sea vulnerable a las vulnerabilidades de inyección SQL. Hasta donde sabemos, la última versión de PrestaShop y sus módulos están libres de estas vulnerabilidades. Creemos que los atacantes se dirigen a tiendas que utilizan software o módulos obsoletos, módulos de terceros vulnerables o una vulnerabilidad aún por descubrir”, dijo PrestaShop en un aviso publicado el 22 de julio.
A pesar de esta incertidumbre, sus investigaciones han establecido un patrón de ataque recurrente. Primero, el atacante envía una solicitud POST al punto final vulnerable. Luego reciben una solicitud GET a la página de inicio sin parámetros, lo que resulta en la creación de un archivo PHP en la raíz del directorio de la tienda. Desde allí, pueden enviar una solicitud GET a ese nuevo archivo, lo que les permite ejecutar código arbitrario.
Una vez logrado esto, el atacante puede inyectar un formulario de pago falso en la página de pago de la víctima, lo que le permite robar los datos de la tarjeta de crédito del cliente.
“La evidencia que muestra cómo los piratas informáticos explotan la plataforma PrestaShop es un claro recordatorio de que las plataformas deben actualizarse regularmente para garantizar que tenga los últimos beneficios de seguridad”
Michael Tanaka, Miracle
Los minoristas que utilizan la plataforma PrestaShop deben asegurarse de inmediato de que sus sitios web y todos los módulos estén actualizados a la última versión, lo que debería evitar que estén expuestos a errores de inyección SQL conocidos o explotados activamente.
El proveedor agregó que existía la posibilidad de que los atacantes estuvieran explotando la función de almacenamiento en caché MySQL Smarty que rara vez se usa en su vector de ataque (que está deshabilitado de forma predeterminada pero se puede habilitar de forma remota), por lo que los usuarios también pueden desear deshabilitar físicamente la función en el código de PrestaShop para cortar este método en particular.
Más información, incluidos los indicadores de compromiso (IoC), está disponible en PrestaShop.
Chris Hauk, defensor de la privacidad del consumidor en la guía de seguridad cibernética y especialista en privacidad en línea Pixel Privacy, dijo que la guía de PrestaShop debe implementarse con urgencia.
“Los usuarios de PrestaShop querrán deshabilitar la función que se usa para este exploit para romper esta cadena de ataque. Esto subraya la necesidad de que los administradores de sitios mantengan sus sistemas actualizados a la última versión de los sistemas operativos, bases de datos y aplicaciones”, dijo Hauk.
Michael Tanaka, director comercial del proveedor de autenticación multifactorial (MFA) Miracl, agregó: “La evidencia actual que muestra cómo los piratas informáticos están explotando la plataforma PrestaShop es un claro recordatorio de que las plataformas deben actualizarse regularmente para garantizar que tenga los últimos beneficios de seguridad.
“No solo parches de mantenimiento, sino también nuevas tecnologías como pruebas y protocolos de conocimiento cero. [ZKPs] que minimicen el uso de datos personales fortalecerán aún más cualquier plataforma contra ataques”, dijo Tanaka.
