Solución vulnerabilidad crítica de seguridad en Prestashop

Desde hace unas semanas ha sido detectada e informada una vulnerabilidad en Prestashop, en las versiones 1.6 y 1.7. Está relacionada con el PHPUnit, potente herramienta que utilizamos para garantizar que nuestro código es estable a través de tests unitarios.

Este “agujero”, recientemente encontrado, podría permitir a los atacantes remotos tomar el control de nuestra tienda.

¿Cómo saber si nuestra tienda está afectada?

Antes de nada, si no te sientes cómodo manejando archivos en tu servidor, comunícate con Rekire, nuestros técnicos solucionarán la incidencia en poco tiempo.

Si te decides a solucionar la incidencia tú mismo, sigue estos pasos:

Conéctate a tu tienda a través de FTP o acceso shell, mira en el directorio "Vendor" en la carpeta principal de Prestashop y dentro de cada uno de los módulos:

• <prestashop_directory>/vendor
• <prestashop_directory>/modules/<module_name>/vendor

Si hay un directorio llamado "phpunit" dentro de los directorios mencionados anteriormente, tu tienda puede ser vulnerable. Simplemente elimina la carpeta "phpunit" y su contenido.

PHPUnit es una biblioteca de desarrollo y no es necesaria para el funcionamiento normal de tu sitio, por lo que simplemente puedes eliminar todos los directorios "phpunit" que se encuentran en los directorios señalados. Esto debería ayudar a cerrar el vector de ataque.

Advertencia: no toques nada más o podrías romper tu tienda. Otros archivos y carpetas (por ejemplo, /vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit/ o archivos .xml) son seguros, no los elimine.

Estos simples pasos protegerán tu tienda de esta vulnerabilidad, pero recuerda que tu sitio web puede haber sido comprometido.

Si no encontraste ningún módulo que contenga esta carpeta phpunit, tu tienda no es vulnerable.

Ten en cuenta que incluso si realizas esta limpieza, es posible que tu tienda ya se haya visto comprometida.

La mayoría de los atacantes colocan archivos nuevos en el sistema de archivos o modifican archivos existentes, como AdminLoginController.php.

Esta es una lista, no exhaustiva, de archivos maliciosos conocidos que pueden indicar una tienda ha sido comprometida:

• XsamXadoo_Bot.php
• XsamXadoo_deface.php
• 0x666.php
• f.php
• Xsam_Xadoo.html

Puedes verificar si los archivos Core PrestaShop han sido modificados mirando la sección "Lista de archivos modificados" en la parte inferior de la página "Parámetros avanzados > Información" en tu Back Office. Sin embargo, esta verificación puede no ser suficiente ya que tu sitio podría haber sido comprometido de otra manera.

Si tu tienda se ha visto comprometida o si crees que se ha visto comprometida: Comprueba cuidadosamente que el atacante no dejó ningún archivo en tu servidor, por ejemplo, oculto en el medio de los archivos de la tienda y/o ponte en contacto con un experto para que lo haga por ti, en Rekire estaremos encantados de ayudarte a través del teléfono 982 048 282 o del correo info@rekire.com.

También, considera la opción de pedir a todos los usuarios de tu tienda que cambien su contraseña, esto incluye a los usuarios de back office. Asegúrate antes de que no hay ningún archivo comprometido en tu tienda.