Критическая уязвимость безопасности в модулях PrestaShop

В январе 2020 года командой Prestashop была обнаружена уязвимость в PHPUnit, которую использует вредоносное ПО под названием XsamXadoo Bot. Проблема была исправлена ​​в PHPUnit 7.5.19 и 8.5.1. Но  предыдущие версии остаются уязвимыми, по крайней мере, при определенных конфигурациях сервера, и сейчас.

Что такое PHPUnit

Этот инструмент представляет собой платформу, которая используется для модульного тестирования при разработке приложений. Хотя его использование не является распространенным в Prestashop, существуют модули Prestashop, разработанные третьими сторонами, которые используют этот Framework. Вот почему масштабы этого нарушения безопасности могут быть довольно большими.

Что делает XsamXadoo Bot

Действия вредоносного ПО XsamXadoo Bot заключается в основном в получении доступа к магазину через уязвимый код инструмента PHPUnit и последующей вставке некоторых файлов с вредоносным кодом в каталог магазина. Код внутри этих файлов позволяет злоумышленникам управлять магазином и красть данные.

Согласно анализу команды PrestaShop, большинство вирусов либо помещают новые файлы в файловую систему, либо изменяют существующие файлы, такие как AdminLoginController.php.

На данный момент известно, что вредоносное ПО создает следующие файлы:

• XsamXadoo_Bot.php
• XsamXadoo_deface.php
• 0x666.php
• f.php

Вы должны знать, что если магазин уязвим, это не значит, что он заражен. Но если вирус атакует магазин, он получит доступ и, следовательно, заразит его вредоносным кодом через вышеупомянутые файлы.

Подключитесь к вашему магазину через FTP или через панель веб-хостинга и проверьте каталог vendor в основной папке prestashop и внутри каждого из ваших модулей:

• <prestashop_directory>/vendor
• <prestashop_directory>/modules/<имя_модуля>/vendor

Если внутри вышеупомянутых каталогов есть каталог под названием «phpunit», ваш магазин может быть уязвим.

Предупреждение: не трогайте больше ничего, иначе вы можете сломать свой магазин. Другие файлы и папки (например, /vendor/symfony/symfony/src/Symfony/Bridge/PhpUnit/ или файлы .xml) безопасны, не удаляйте их.

Так как PHPUnit – это библиотека разработки, которая не требуется для нормальной работы вашего сайта, вы можете просто удалить все каталоги «phpunit», обнаруженные в указанных папках. Это должно помочь предотвратить атаку вируса.

Имейте в виду, что даже если вы выполните эту очистку, возможно, ваш магазин уже был взломан.

Вы можете проверить, были ли изменены основные файлы PrestaShop, просмотрев раздел «Список измененных файлов» в вашем бэк-офисе: «Дополнительные параметры> Информация». Однако этой проверки может быть недостаточно, поскольку ваш сайт уже мог быть взломан.

Если ваш магазин был взломан или вы считаете, что он был взломан:

• Тщательно проверьте, что злоумышленник не оставил никаких файлов на вашем сервере, например, не спрятал их в середине файлов вашего магазина, и/или обратитесь к специалисту, который сделает это за вас.
• Подумайте о том, чтобы попросить всех пользователей вашего магазина изменить свой пароль, включая пользователей бэк-офиса и клиентов. Убедитесь, что в вашем магазине еще нет скомпрометированного файла.

Если вы считаете, что ваш сайт был взломан, обратитесь к специалисту по безопасности.

Затронуто несколько модулей:

• Обновление в 1 клик (автообновление): бета версии 4.0 и выше
• Cart Abandonment Pro (pscartabandonmentpro): версии 2.0.1 ~ 2.0.2
• Faceted Search (ps_facetedsearch): версии 2.2.1 ~ 3.0.0
• Merchant Expertise (геймификация): версии 2.1.0 и выше
• PrestaShop Checkout (ps_checkout): версии 1.0.8 ~ 1.0.9

PrestaShop выпустили обновленные версии для этих модулей, в которых удалена связанная библиотека:

• Обновление в 1 клик: v4.10.1
• Cart Abandonment Pro: v2.0.10
• Faceted Search: v3.4.1
• Merchant Expertise: v2.3.2
• PrestaShop Checkout: v1.2.9

Обратите внимание, что если вы установили ранее уязвимую версию этих модулей, файлы PHPUnit все еще могут присутствовать на вашем сервере. Только эти недавно выпущенные версии гарантируют, что PHPUnit больше не присутствует в каталоге поставщика. Модули и темы других производителей также могут быть уязвимы.

Дополнительную информацию можно узнать здесь.