Prestashop Avviso di alto rischio: Vulnerabilità PHPUnit - Xsam Xadoo Bot

E' notizia di qualche giorno fa che diversi negozi Prestashop sono stati hackerati utilizzando una nota vulnerabilità di alcune versioni di PHPUnit, un componente PHP che permette il test automatizzato per gli sviluppatori, presente in diversi moduli.

Sebbene la vulnerabilità riguardi principalmente moduli distribuiti con Prestashop 1.7 e Prestashop 1.6 può essere compromessa anche se gli stessi moduli sono presenti sul server.

Diversi moduli sono già stati identificati come vulnerabili:

1-Click Upgrade (autoupgrade): versions 4.0 beta and later
Cart Abandonment Pro (pscartabandonmentpro): versions 2.0.1~2.0.2
Faceted Search (ps_facetedsearch): versions 2.2.1~3.0.0
Merchant Expertise (gamification): versions 2.1.0 and later
PrestaShop Checkout (ps_checkout): versions 1.0.8~1.0.9

L'indagine è ancora in corso e altri moduli potrebbero essere aggiunti all'elenco a breve. Il team di Prestashop sta già lavorando per rimuovere i moduli ritenuti vulnerabili dai loro repository e dagli Addons.

Come posso controllare se il mio negozio è vulnerabile?

È essenziale controllare i moduli, in particolare l'eventuale cartella "vendor" al loro interno. Se c'è un'altra cartella chiamata "phpunit", questo modulo potrebbe rendervi vulnerabili e permettere a un aggressore di accedere ai file del vostro negozio e di caricare malware.

Per facilitare questo compito e consentire di automatizzare i successivi passi illustrati in questo articolo, é a vostra disposizione il nostro Modulo "PS IT PHPUnit Vulnerability Remover", con il quale potrete rapidamente verificare la presenza di un rischio e facilmente porvi rimedio.

Come posso proteggermi?

Anche se ci sono solo poche versioni vulnerabili di PHPUnit, potete tranquillamente cancellare la cartella /vendor/phpunit da qualsiasi modulo senza comprometterne il funzionamento.

Attenzione : questo non esclude che il vostro negozio possa essere già stato compromesso.

Come posso scoprire se il mio negozio è stato compromesso ?

Poiché questa vulnerabilità è di tipo RCE (remote code execution), un attaccante ha la possibilità di eseguire codice PHP arbitrario sul vostro negozio.

Ciò significa che i file sul vostro server possono essere modificati / aggiunti / cancellati.

Pertanto, verificate la data di modifica dei file e prestate particolare attenzione alla presenza di eventuali file "anomali" che non possono essere ricondotti a un'installazione standard di Prestashop.

Come faccio a ripulire un negozio infetto ?

Poiché non è possibile determinare con esattezza il codice eseguito da un aggressore dopo l'infezione, l'unica soluzione consigliata è quella di ripristinare l'installazione da un backup non infetto e quindi proteggerla con le precauzioni indicate sopra.

PS IT Solution è a vostra completa disposizione con i moduli "Security" e i pacchetti "Check"