Los piratas informáticos aprovechan una vulnerabilidad de día 0 en la plataforma de comercio electrónico de código abierto PrestaShop e introducen skimmers web en sitios web diseñados para robar información confidencial..
El viernes pasado, el PrestaShop El equipo emitió un advertencia urgente, instando a los administradores de aproximadamente 300,000 las tiendas que utilizan el software deben estar más atentas a la seguridad a medida que se descubren ataques dirigidos a la plataforma.
Déjame recordarte que también escribimos eso. Nuevo skimmer web encontrado en comprar, Gran comercio, WooCommerce y zencart historias, y también eso Las tiendas holandesas se quedan sin queso debido a un ataque de ransomware.
Aparentemente, Los ataques afectaron a la versión de PrestaShop. 1.6.0.10 o después, así como la versión 1.7.8.2 o después, pero sólo cuando se ejecuta un módulo vulnerable a la inyección SQL, por ejemplo, Lista de deseos 2.0.0-2.1.0.
Típicamente, Dichos ataques comienzan cuando los piratas informáticos envían una solicitud POST al punto final vulnerable., seguido de una solicitud GET sin parámetros a la página de inicio, que crea un archivo blm.php en el directorio raíz. Este archivo es un shell web y permite a los atacantes ejecutar comandos de forma remota en el servidor..
En muchos casos, Se sabe que los atacantes utilizan este shell web para inyectar un formulario de pago falso en la página de pago. (skimmer web) y robar los datos de la tarjeta de pago del cliente. despues del ataque, Los piratas informáticos cubrieron sus huellas para que el propietario del sitio no se diera cuenta de que el recurso había sido pirateado..
Los desarrolladores de PrestaShop afirman que aún se pueden encontrar rastros de un compromiso si los piratas informáticos no son demasiado entusiastas a la hora de destruir pruebas. Por ejemplo, Se pueden encontrar rastros de delincuentes en los registros de acceso al servidor web., Se pueden ver modificaciones de archivos para agregar código malicioso., así como la activación del caché MySQL Smarty, que es parte de la cadena de ataque. esta función esta desactivada por defecto, pero los investigadores dicen que los piratas informáticos lo atacaron ellos mismos y recomiendan eliminarlo por completo si no es necesario..
Se recomienda a todos los administradores de la tienda que instalen la última actualización de seguridad. (Versión PrestaShop 1.7.8.7) lo antes posible, así como también deben actualizar todos los módulos utilizados a las últimas versiones..
Al mismo tiempo, Los mantenedores de PrestaShop destacan que descubrieron y solucionaron una vulnerabilidad de día cero en la nueva versión, pero “no pueden estar seguros de que ésta sea la única manera de llevar a cabo ataques”. La vulnerabilidad descubierta recibió el identificador. CVE-2022-36408.