Problema Grave de Seguridad en PrestaShop 1.7 con Carpetas PHPUnit (Posibilidad de Inyección de Malwaware)

Problema Grave de Seguridad en PrestaShop 1.7 con Carpetas PHPUnit

Muchos de nuestros clientes que están suscritos al email marketing de PrestaShop nos están preguntando estos días sobre el correo que han recibido el pasado 7 de enero de 2019 donde comentan que su tienda puede ser vulnerable al malware llamado XsamXadoo Bot y que es lo que deberían hacer.

Bien, el mensaje integro lo dejaremos al final del artículo, ya que antes vamos a comentar algunas cosillas e incluso vamos a documentar la solución con capturas de pantalla para que nuestros clientes puedan proceder sin problemas.

Lo primero de todo que tenemos que decir es que la versión en español que han enviado no es muy fiel a lo que se dicen en la versión en inglés y puede crear un poquillo de confusión.

Carpeta Vendor (Solo PrestaShop 1.7)

En la versión en inglés dicen de revisar la “carpeta vendor” y ellos lo han traducido como “carpeta vendedor” y esa carpeta no existe, sino que es “vendor” como mostramos en esta captura de pantalla:

PrestaShop 1.7 Carpeta vendor

Además, dicha carpeta solo está presente en PrestaShop 1.7, en PrestaShop 1.6 NO hay carpeta vendor. Lo comentamos porque también nos han preguntado clientes que disponen de dicha versión en vez de la 1.7 que es la que está realmente afectada con el problema.

PrestaShop 1.6 NO hay Carpeta vendor

Aclarado este punto, pasamos al siguiente.

PHPUnit

Como bien indican en el comunicado, PrestaShop descubrió una vulnerabilidad que afecta a su CMS, aunque en realidad afecta a todo lo que use PHPUnit que es quien realmente tuvo/tiene la vulnerabilidad. A través de esta vulnerabilidad se puede inyectar un malware con el que se puede tener acceso a la tienda online y tomar el control de la misma.

En estos momentos desde Hostinet estamos localizamos a los clientes que puedan estar afectados para indicarles cómo deben proceder, pero dado que puede pasar bastante tiempo entre que localizamos, avisamos y el cliente hace lo que tiene que hacer, hemos creído oportuno crear una regla de mod_security y corta en ese nivel un posible ataque (ya hemos detectado algún cliente con quien han probado).

Solución

Por suerte, la solución es bastante sencilla, ya que básicamente consiste en borrar Carpetas PHPUnit.

Para ello debemos acceder a la estructura de carpetas de nuestro hosting y localizar la carpeta que contenga la instalación de PrestaShop 1.7 (podemos usar un cliente de FTP como FileZilla o directamente el Administrador de Archivos de cPanel como hemos hecho nosotros. Recordemos que se puede acceder a cPanel desde el Panel de Cliente de Hostinet)

Carpeta raíz de la Instalación de PrestaShop 1.7

Una vez estemos en la raíz de la instalación de PrestaShop 1.7 debemos localizar la carpeta vendor y mirar si dentro de la misma tenemos otra carpeta llamada «phpunit». De ser así, lo único que tenemos que hacer es borrarla completamente con todo lo que tenga dentro. Obviamente si no tenemos dicha capeta no tenemos que hacer nada, ya que estamos a salvo de que puedan inyectarnos código mediante PHPUnit.

PrestaShop carpeta vendor phpunit

Si estamos con el Administrador de Archivos de cPanel no tenemos más que darle a la carpeta con el botón derecho del ratón y seleccionar la opción “Delete”.

phpunit delete

Carpeta Modules de PrestaShop 1.7

Solo eliminando la carpeta «phpunit» de la carpeta vendor no es suficiente, ya que dentro de los módulos de PrestaShop 1.7 también puede estar esa carpeta y puede ser vulnerable dicho módulo.

Básicamente hay que hacer el mismo proceso que antes, pero dentro de los módulos de PrestaShop 1.7, es decir, tenemos que ir modulo por módulo mirando si dentro de uno de ellos está la carpeta «phpunit» dentro de la carpeta vendor. En caso de estar, ¡hay que borrarla cuanto antes! Esta medida no afectara a la funcionalidad de los módulos.

Eh aquí un ejemplo del módulo autoupgrade, donde como se puede ver en la captura de pantalla, dentro de la carpeta vendor, está la carpeta  «phpunit». ¡hay que borrarla!

PrestaShop 1.7 Modules vendor phpunit

¡Y eso es todo¡

A continuación, dejamos el mensaje integro de PrestaShop:

Su tienda puede ser vulnerable al malware. Esto es lo que debe hacer:

Estimado usuario de PrestaShop,

El 2 de enero, descubrimos un malware llamado XsamXadoo Bot. Este malware puede ser utilizado para tener acceso a una tienda online y tomar el control de la misma.

Ahora creemos que el bot utilizó una conocida vulnerabilidad de la herramienta PHP PHPUnit que ha sido reportada como CVE-2017-9841.

Esto es lo que tiene que hacer, sólo debería llevarle 5 minutos.

1) ¿Es mi sitio web vulnerable?

Para saber si su tienda es vulnerable a un ataque, esto es lo que debe hacer. Si no se siente cómodo administrando archivos en su servidor, póngase en contacto con el miembro de su equipo calificado.

  1. En su servidor, busque en la carpeta Vendedor en el nivel raíz de su sitio web PrestaShop
  2. Si la carpeta del proveedor contiene una carpeta «phpunit», puede ser vulnerable a un atacante externo.
  3. Ahora puede simplemente eliminar la carpeta «phpunit» y su contenido.

Una vez que haya comprobado la carpeta principal de PrestaShop, repita los mismos pasos pero dentro de la carpeta de cada módulo:

  1. En cada carpeta de módulo, compruebe si hay una carpeta de proveedor.
  2. Dentro de la carpeta Vendor de cada módulo, compruebe si existe una carpeta llamada «phpunit».
  3. Si la carpeta de un módulo contiene esta carpeta «phpunit», este módulo puede hacerle vulnerable a un atacante externo.
  4. Simplemente puede eliminar la carpeta «phpunit» .

Compruebe que la carpeta «Vendor» de cada módulo no contenga una carpeta «phpunit».

Esto no afectará al comportamiento de los módulos. Este sencillo paso protegerá su tienda online de esta vulnerabilidad, pero recuerde que su sitio web puede estar ya comprometido.

→ Si no encontró ningún módulo que contenga esta carpeta phpunit, su tienda no es vulnerable.

Para obtener instrucciones más detalladas desde el punto de vista técnico, por favor visite nuestro post dedicado.

2) ¿Qué puede pasar si mi tienda está comprometida?

Esta vulnerabilidad permite a un atacante acceder a su sitio web: por ejemplo, esto significa que un atacante puede robar potencialmente sus datos.

Para obtener más información, visite nuestro post dedicado a este tema.

3) ¿Qué está haciendo PrestaShop en este momento sobre esta vulnerabilidad?

Todos los socios y embajadores de PrestaShop han sido informados y deberían haber asegurado ya las tiendas que controlan.

Todos los módulos de PrestaShop han sido actualizados y ahora son seguros. También estamos comprobando actualmente todos los demás módulos disponibles en los complementos de PrestaShop, para ver si contienen la carpeta vulnerable «phpunit».

Si cree que su sitio web ya ha sido comprometido, le aconsejamos encarecidamente que contacte con un experto en seguridad.

La seguridad de su tienda son una de las máximas preocupaciones de PrestaShop. Nuestros equipos se movilizan para reducir al mínimo el impacto de este malware. Por supuesto, lo mantendremos informado de las próximas informaciones sobre este asunto.

El equipo de PrestaShop

Hosting PrestaShop SSD Con LiteSpeed

En Hostinet puedes contratar un Hosting PrestaShop SSD con LiteSpeed para hacer que tu tienda online vaya mucho más rápida que la de tu competencia. ¡Te garantizamos una IP española, así como el mejor soporte en tu idioma

En Hostinet trabajamos desde hace más de 15 años con servidores ubicados en España (Madrid y Bilbao) para ofrecer a nuestros clientes las mejores prestaciones posibles.

Hosting PrestaShop