23 de Julho, 2022 Daniel Jesus

PrestaShop – Vulnerabilidade CVE-2022-36408 [2022-07-22]

O software de e-commerce PrestaShop está a ser alvo de uma falha de segurança identificada com o ID CVE-2022-36408, proteja a sua loja agora.

PrestaShop-CVE-2022-36408

Várias lojas e-commerce (lojas online) com software de base PrestaShop estão a ser alvo de ataques, numa falha identificada com o ID CVE-2022-36408.

A falha prende-se em ataques do tipo SQLinjection que posteriormente executa código arbitrário no servidor da loja online PrestaShop e, consequentemente, conseguem manipular dados de clientes ou dados de pagamento.

As versões do Prestashop afetadas são todas entre a 1.6.0.10 até 1.7.8.1 (inclusive). Apesar de ainda não haver um patch nem uma compreensão plena da forma como a falha é explorada, presume-se que o problema esteja relacionado com MySQL Smarty cache e o módulo blockwishlist.

//

Como funciona o
ataque ao PrestaShop?

As informações que temos até agora, são resultado da análise de clientes e dos seus los de acesso!

O padrão de ataque é um POST a um terminal (endpoint) vulnerável (blockwishlist, à partida, nas  versões: 2.0.0 até 2.1.0), com parâmetros forjados do tipo SQLinjection.

Posteriormente, o atacante visita a homepage da loja online, esta ação faz com que um ficheiro php (blm.php, mas pode ser outro nome) seja criado na pasta root sistema.

Por fim, o atacante envia comandos por URL (tipo GET) ao ficheiro acabado de criar e executa código arbitrário do lado do servidor. Assim que os atacantes ganham acesso à loja, injetam formulários de pagamento falsos na página onde solicitam os dados de pagamento dos clientes.

A estratégia é mais ou menos esta:

- [14/Jul/2022:16:20:56 +0200] "POST /modules/XXX/XXX.php HTTP/1.1" 200 82772 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14"

– [14/Jul/2022:16:20:57 +0200] “GET / HTTP/1.1” 200 63011 “-” “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.98 Safari/537.36”

– [14/Jul/2022:16:20:58 +0200] “POST /blm.php HTTP/1.1” 200 82696 “-” “Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0”

//

Como proteger a sua loja,
e o seu negócio online?

Apesar de ainda não haver uma certeza do vetor de ataque, há suposições acerca da forma de atuar.

Neste momento ainda não há certezas! No entanto, desconfiamos que o problema seja mesmo relacionado com a caché MySQL (Definições > Parâmetros Avançados > Desempenho). No entanto, desativar esta opção não resolve, já que a mesma pode ser ativada remotamente.

O melhor a fazer, neste preciso momento, é editar manualmente o ficheiro smarty.config.inc.php, localizado na pasta confia e remover as linhas seguintes:
if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
$smarty->caching_type = 'mysql';
}

Comente o código acima ou remova-o por completo.

//

Quais os passos a seguir se
a minha loja PrestaShop for afetada?

A gestão de produtos, categorias, clientes e faturação é um ponto chave na escolha do PrestaShop.

No caso de perceber que a sua loja online PrestaShop está a ser atingida por este problema deverá, de imediato, contactar as entidades competentes já que, existe uma violação dos dados pessoais dos clientes.

//

Precisa de ajuda na
proteção da sua loja online?

Podemos ajudar a proteger a sua loja e tentar mantê-la afastada dos problemas enquanto não conseguimos um patch eficiente! Fale connosco!

    , , , ,

    Daniel Jesus

    CEO - Dotec ÖU

    // Full Stack Developer
    // CyberSec Master Engineer
    // Cloud Architect and Manager
    // System Administration Engineer
    // E-Commerce Management

    Soluções.
    Personalizadas.
    Vamos trabalhar juntos e criar algo com significado e valioso.

    Daniel Jesus

    Águeda, PT

    R. Eng. José Bastos Xavier, 16
    C.C Diana, LJ 1.07
    3750-144 Águeda
    PRT

    Dotec LLC

    Wyoming, US

    30 N Gould St Ste R
    Sheridan, WY 82801
    USA

    Dotec ÖU

    Tallinn, EE

    Sepapaja 6
    Tallinn 15551
    EST

    Agência 360º

    Planeta Terra, SS

    Dotec // base de dados // desde 2004

    A Dotec nasce da experiência na área do desenvolvimento de lojas online nas mais diversas plataformas: PrestaShop, Magento, OSCommerce, CreLoaded, ZenCart, OpenCart, com a necessidade comum dos clientes de uma solução stress-free que lhes permita despreocupar-se da parte técnica e focar exclusivamente na gestão dos negócios.

    Durante vários anos, desenvolvemos soluções personalizadas que permitiram aos nossos clientes expandir de forma gradual os seus negócios. Juntámos os pedidos e as personalizações individuais e criámos soluções tecnológicas que disponibilizamos de forma integrada a todos os nossos clientes.

    Especializámo-nos no desenvolvimento web, desenvolvimento geral, manutenção e integração contínua de e-commerce, gestão e design de infraestrutura personalizada e de acordo com o tamanho e necessidades de cada sistema.

    As empresas Daniel Jesus (PT), Dotec LLC (US) e Dotec ÖU (EE) foram criadas pela experiência do nosso fundador, Daniel Jesus, formado nas áreas de Cibersegurança e Engenharia de Sistemas, que contribuiu durante mais de 20 anos nas comunidades Open Source de vários projetos utilizados nos dias de hoje por milhões de pessoas e empresas. Sénior Software Engineer, Daniel de Jesus trabalhou com alguns dos mais conceituados projetos presentes na internet.  Mais informação: https://danieljesus.pt