Várias lojas e-commerce (lojas online) com software de base PrestaShop estão a ser alvo de ataques, numa falha identificada com o ID CVE-2022-36408.
A falha prende-se em ataques do tipo SQLinjection que posteriormente executa código arbitrário no servidor da loja online PrestaShop e, consequentemente, conseguem manipular dados de clientes ou dados de pagamento.
As versões do Prestashop afetadas são todas entre a 1.6.0.10 até 1.7.8.1 (inclusive). Apesar de ainda não haver um patch nem uma compreensão plena da forma como a falha é explorada, presume-se que o problema esteja relacionado com MySQL Smarty cache e o módulo blockwishlist.
Como funciona o
ataque ao PrestaShop?
As informações que temos até agora, são resultado da análise de clientes e dos seus los de acesso!
O padrão de ataque é um POST a um terminal (endpoint) vulnerável (blockwishlist, à partida, nas versões: 2.0.0 até 2.1.0), com parâmetros forjados do tipo SQLinjection.
Posteriormente, o atacante visita a homepage da loja online, esta ação faz com que um ficheiro php (blm.php, mas pode ser outro nome) seja criado na pasta root sistema.
Por fim, o atacante envia comandos por URL (tipo GET) ao ficheiro acabado de criar e executa código arbitrário do lado do servidor. Assim que os atacantes ganham acesso à loja, injetam formulários de pagamento falsos na página onde solicitam os dados de pagamento dos clientes.
A estratégia é mais ou menos esta:
- [14/Jul/2022:16:20:56 +0200] "POST /modules/XXX/XXX.php HTTP/1.1" 200 82772 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14"
– [14/Jul/2022:16:20:57 +0200] “GET / HTTP/1.1” 200 63011 “-” “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.98 Safari/537.36”
– [14/Jul/2022:16:20:58 +0200] “POST /blm.php HTTP/1.1” 200 82696 “-” “Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0”
Como proteger a sua loja,
e o seu negócio online?
Apesar de ainda não haver uma certeza do vetor de ataque, há suposições acerca da forma de atuar.
Neste momento ainda não há certezas! No entanto, desconfiamos que o problema seja mesmo relacionado com a caché MySQL (Definições > Parâmetros Avançados > Desempenho). No entanto, desativar esta opção não resolve, já que a mesma pode ser ativada remotamente.
O melhor a fazer, neste preciso momento, é editar manualmente o ficheiro smarty.config.inc.php, localizado na pasta confia e remover as linhas seguintes:
if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
$smarty->caching_type = 'mysql';
}
Comente o código acima ou remova-o por completo.
Quais os passos a seguir se
a minha loja PrestaShop for afetada?
A gestão de produtos, categorias, clientes e faturação é um ponto chave na escolha do PrestaShop.
No caso de perceber que a sua loja online PrestaShop está a ser atingida por este problema deverá, de imediato, contactar as entidades competentes já que, existe uma violação dos dados pessoais dos clientes.
Precisa de ajuda na
proteção da sua loja online?
Podemos ajudar a proteger a sua loja e tentar mantê-la afastada dos problemas enquanto não conseguimos um patch eficiente! Fale connosco!
