Il 7 gennaio il sito degli sviluppatori di PrestaShop ha diramato l’annuncio di una vulnerabilità di sicurezza particolarmente importante riscontrata sulla propria piattaforma CMS.
La falla, segnalata da un utente, permetterebbe agli hacker di prendere il controllo dei negozi online che utilizzano il CMS in questione. A tal proposito, gli sviluppatori hanno distribuito una serie di istruzioni da seguire per, innanzitutto, verificare la presenza della vulnerabilità e, in seconda battuta, per potervi porre rimedio se si fosse stati colpiti da un attacco.
La vulnerabilità riguarda le versioni PHPUnit precedenti alla 8.5.1 (ad eccezione della versione 7.5.19) e, mediante essa, si riuscirebbe ad eseguire del codice arbitrario nei server con siti PrestaShop.
Per scoprire se si rischia rimanere coinvolti in problemi dovuti a questa vulnerabilità è necessario accedere al proprio sito e-commerce via FTP e trovare la directory “vendor” della cartella principale e nei singoli moduli:
- <prestashop_directory>/vendor
- <prestashop_directory>/modules/<module_name>/vendor
I nostri siti saranno a rischio se nelle directory elencate è presente la directory “phpunit”.
Come fare se si riscontra la vulnerabilità
Considerando che PHPUnit non è una libreria di sviluppo fondamentale per il funzionamento del proprio sito e-commerce, cancellare la directory presente nelle cartelle elencate sarà più che sufficiente.
Le directory possono essere cancellate manualmente via FTP, ma va ricordato sempre che dal momento che si effettua questa pulizia il sistema potrebbe essere già stato violato.
L’analisi dei tecnici ha mostrato come gli hacker tendano ad inserire file malevoli nel file system o modifichino quelli già presenti, fornendo anche una lista sommaria di quelli riscontrati che denotano con sicurezza una violazione (vedi nella fonte).
Si può controllare se ci sono state modifiche di file del file system andando nel backend e seguendo il percorso Avanzate -> Informazioni ed andando alla sezione con la lista dei file modificati in fondo alla pagina.
Nel momento in cui si ha la certezza di essere stati colpiti è consigliabile invitare tutti coloro che hanno gli accessi al backend ed a tutti gli utenti del sito che effettuano login a cambiare le loro password. Questo va fatto chiaramente dopo che si sono rimossi i file malevoli.
I moduli a rischio vulnerabilità
Gli sviluppatori PrestaShop hanno anche diramato una lista dei moduli nei quali questa vulnerabilità potrebbe essere riscontrata e per i quali sono stati tempestivamente rilasciati gli aggiornamenti di sicurezza necessari:
- 1-Click Upgrade (autoupgrade): versions 4.0 beta e successive
- Cart Abandonment Pro (pscartabandonmentpro): versioni 2.0.1~2.0.2
- Faceted Search (ps_facetedsearch): versioni 2.2.1~3.0.0
- Merchant Expertise (gamification): versioni 2.1.0 e successive
- PrestaShop Checkout (ps_checkout): versioni 1.0.8~1.0.9
Viene ricordato che, oltre a quelli elencati, anche altri moduli potrebbero essere a rischio, promettendo aggiornamenti sulla questione in tempi brevi.
Fonti: 1