Prestashop Advertencia de alto riesgo: Vulnerabilidad PHPUnit - Xsam Xadoo Bot

Es noticia de hace unos días que varias tiendas Prestashop han sido hackeadas utilizando una conocida vulnerabilidad de algunas versiones de PHPUnit, un componente de PHP que permite pruebas automatizadas para los desarrolladores, presente en varios módulos.

Aunque la vulnerabilidad se refiere principalmente a los módulos distribuidos con Prestashop 1.7 y Prestashop 1.6 también puede verse comprometida si los mismos módulos están presentes en el servidor.

Varios módulos ya han sido identificados como vulnerables:

1-Click Upgrade (autoupgrade): versions 4.0 beta and later
Cart Abandonment Pro (pscartabandonmentpro): versions 2.0.1~2.0.2
Faceted Search (ps_facetedsearch): versions 2.2.1~3.0.0
Merchant Expertise (gamification): versions 2.1.0 and later
PrestaShop Checkout (ps_checkout): versions 1.0.8~1.0.9

La investigación sigue en curso y es posible que en breve se añadan otros módulos a la lista. El equipo de Prestashop ya está trabajando para eliminar los módulos considerados vulnerables de sus repositorios y Addons.

¿Cómo puedo comprobar si mi tienda es vulnerable?

Es esencial para comprobar sus módulos, en particular la posible carpeta "vendor" dentro de ellos. Si hay otra carpeta llamada "phpunit", este módulo podría hacerle vulnerable y permitir a un atacante acceder a los archivos de su tienda y subir malware.

Para facilitar esta tarea y permitirle automatizar los pasos posteriores ilustrados en este artículo, nuestro módulo "PS IT PHPUnit Vulnerability Remover" está a su disposición, con el que puede verificar rápidamente la presencia de un riesgo y remediarlo fácilmente.

¿Cómo me protejo?

Aunque sólo hay unas pocas versiones vulnerables de PHPUnit, puede eliminar de forma segura la carpeta /vendor/phpunit de cualquier módulo sin comprometer su funcionamiento.

Advertencia: esto no excluye que su tienda pueda estar ya comprometida.

¿Cómo puedo saber si mi tienda está comprometida?

Como esta vulnerabilidad es de tipo RCE (remote code execution), un atacante tiene la posibilidad de ejecutar código PHP arbitrario en su tienda.

Esto significa que los archivos de su servidor pueden ser modificados / añadidos / eliminados.

Por lo tanto, compruebe la fecha de modificación de los archivos y preste especial atención a la presencia de cualquier archivo "anómalo" que no pueda ser rastreado hasta una instalación estándar de Prestashop.

¿Cómo puedo limpiar una tienda infectada?

Dado que no es posible determinar exactamente el código ejecutado por un atacante después de la infección, la única solución recomendada es restaurar su instalación desde una copia de seguridad no infectada y luego asegurarla con las precauciones indicadas anteriormente.

PS IT Solution está a su completa disposición con los módulos "Security" y los Paquetes "Check"