Problema Grave de Seguridad en PrestaShop 1.7 con Carpetas PHPUnit (Posibilidad de Inyección de Malwaware)

Problema Grave de Seguridad en PrestaShop 1.7 con Carpetas PHPUnit

Muchos de nuestros clientes que están suscritos al email marketing de PrestaShop nos están preguntando estos días sobre el correo que han recibido el pasado 7 de enero de 2019 donde comentan que su tienda puede ser vulnerable al malware llamado XsamXadoo Bot y que es lo que deberían hacer.

Bien, el mensaje integro lo dejaremos al final del artículo, ya que antes vamos a comentar algunas cosillas e incluso vamos a documentar la solución con capturas de pantalla para que nuestros clientes puedan proceder sin problemas.

Lo primero de todo que tenemos que decir es que la versión en español que han enviado no es muy fiel a lo que se dicen en la versión en inglés y puede crear un poquillo de confusión.

Carpeta Vendor (Solo PrestaShop 1.7)

En la versión en inglés dicen de revisar la “carpeta vendor” y ellos lo han traducido como “carpeta vendedor” y esa carpeta no existe, sino que es “vendor” como mostramos en esta captura de pantalla:

PrestaShop 1.7 Carpeta vendor

Además, dicha carpeta solo está presente en PrestaShop 1.7, en PrestaShop 1.6 NO hay carpeta vendor. Lo comentamos porque también nos han preguntado clientes que disponen de dicha versión en vez de la 1.7 que es la que está realmente afectada con el problema.

PrestaShop 1.6 NO hay Carpeta vendor

Aclarado este punto, pasamos al siguiente.

PHPUnit

Como bien indican en el comunicado, PrestaShop descubrió una vulnerabilidad que afecta a su CMS, aunque en realidad afecta a todo lo que use PHPUnit que es quien realmente tuvo/tiene la vulnerabilidad. A través de esta vulnerabilidad se puede inyectar un malware con el que se puede tener acceso a la tienda online y tomar el control de la misma.

En estos momentos desde Hostinet estamos localizamos a los clientes que puedan estar afectados para indicarles cómo deben proceder, pero dado que puede pasar bastante tiempo entre que localizamos, avisamos y el cliente hace lo que tiene que hacer, hemos creído oportuno crear una regla de mod_security y corta en ese nivel un posible ataque (ya hemos detectado algún cliente con quien han probado).

Solución

Por suerte, la solución es bastante sencilla, ya que básicamente consiste en borrar Carpetas PHPUnit.

Para ello debemos acceder a la estructura de carpetas de nuestro hosting y localizar la carpeta que contenga la instalación de PrestaShop 1.7 (podemos usar un cliente de FTP como FileZilla o directamente el Administrador de Archivos de cPanel como hemos hecho nosotros. Recordemos que se puede acceder a cPanel desde el Panel de Cliente de Hostinet)

Carpeta raíz de la Instalación de PrestaShop 1.7

Una vez estemos en la raíz de la instalación de PrestaShop 1.7 debemos localizar la carpeta vendor y mirar si dentro de la misma tenemos otra carpeta llamada «phpunit». De ser así, lo único que tenemos que hacer es borrarla completamente con todo lo que tenga dentro. Obviamente si no tenemos dicha capeta no tenemos que hacer nada, ya que estamos a salvo de que puedan inyectarnos código mediante PHPUnit.

PrestaShop carpeta vendor phpunit

Si estamos con el Administrador de Archivos de cPanel no tenemos más que darle a la carpeta con el botón derecho del ratón y seleccionar la opción “Delete”.

phpunit delete

Carpeta Modules de PrestaShop 1.7

Solo eliminando la carpeta «phpunit» de la carpeta vendor no es suficiente, ya que dentro de los módulos de PrestaShop 1.7 también puede estar esa carpeta y puede ser vulnerable dicho módulo.

Básicamente hay que hacer el mismo proceso que antes, pero dentro de los módulos de PrestaShop 1.7, es decir, tenemos que ir modulo por módulo mirando si dentro de uno de ellos está la carpeta «phpunit» dentro de la carpeta vendor. En caso de estar, ¡hay que borrarla cuanto antes! Esta medida no afectara a la funcionalidad de los módulos.

Eh aquí un ejemplo del módulo autoupgrade, donde como se puede ver en la captura de pantalla, dentro de la carpeta vendor, está la carpeta  «phpunit». ¡hay que borrarla!

PrestaShop 1.7 Modules vendor phpunit

¡Y eso es todo¡

A continuación, dejamos el mensaje integro de PrestaShop:

Su tienda puede ser vulnerable al malware. Esto es lo que debe hacer:

Estimado usuario de PrestaShop,

El 2 de enero, descubrimos un malware llamado XsamXadoo Bot. Este malware puede ser utilizado para tener acceso a una tienda online y tomar el control de la misma.

Ahora creemos que el bot utilizó una conocida vulnerabilidad de la herramienta PHP PHPUnit que ha sido reportada como CVE-2017-9841.

Esto es lo que tiene que hacer, sólo debería llevarle 5 minutos.

1) ¿Es mi sitio web vulnerable?

Para saber si su tienda es vulnerable a un ataque, esto es lo que debe hacer. Si no se siente cómodo administrando archivos en su servidor, póngase en contacto con el miembro de su equipo calificado.

  1. En su servidor, busque en la carpeta Vendedor en el nivel raíz de su sitio web PrestaShop
  2. Si la carpeta del proveedor contiene una carpeta «phpunit», puede ser vulnerable a un atacante externo.
  3. Ahora puede simplemente eliminar la carpeta «phpunit» y su contenido.

Una vez que haya comprobado la carpeta principal de PrestaShop, repita los mismos pasos pero dentro de la carpeta de cada módulo:

  1. En cada carpeta de módulo, compruebe si hay una carpeta de proveedor.
  2. Dentro de la carpeta Vendor de cada módulo, compruebe si existe una carpeta llamada «phpunit».
  3. Si la carpeta de un módulo contiene esta carpeta «phpunit», este módulo puede hacerle vulnerable a un atacante externo.
  4. Simplemente puede eliminar la carpeta «phpunit» .

Compruebe que la carpeta «Vendor» de cada módulo no contenga una carpeta «phpunit».

Esto no afectará al comportamiento de los módulos. Este sencillo paso protegerá su tienda online de esta vulnerabilidad, pero recuerde que su sitio web puede estar ya comprometido.

→ Si no encontró ningún módulo que contenga esta carpeta phpunit, su tienda no es vulnerable.

Para obtener instrucciones más detalladas desde el punto de vista técnico, por favor visite nuestro post dedicado.

2) ¿Qué puede pasar si mi tienda está comprometida?

Esta vulnerabilidad permite a un atacante acceder a su sitio web: por ejemplo, esto significa que un atacante puede robar potencialmente sus datos.

Para obtener más información, visite nuestro post dedicado a este tema.

3) ¿Qué está haciendo PrestaShop en este momento sobre esta vulnerabilidad?

Todos los socios y embajadores de PrestaShop han sido informados y deberían haber asegurado ya las tiendas que controlan.

Todos los módulos de PrestaShop han sido actualizados y ahora son seguros. También estamos comprobando actualmente todos los demás módulos disponibles en los complementos de PrestaShop, para ver si contienen la carpeta vulnerable «phpunit».

Si cree que su sitio web ya ha sido comprometido, le aconsejamos encarecidamente que contacte con un experto en seguridad.

La seguridad de su tienda son una de las máximas preocupaciones de PrestaShop. Nuestros equipos se movilizan para reducir al mínimo el impacto de este malware. Por supuesto, lo mantendremos informado de las próximas informaciones sobre este asunto.

El equipo de PrestaShop

Hosting PrestaShop SSD Con LiteSpeed

En Hostinet puedes contratar un Hosting PrestaShop SSD con LiteSpeed para hacer que tu tienda online vaya mucho más rápida que la de tu competencia. ¡Te garantizamos una IP española, así como el mejor soporte en tu idioma

En Hostinet trabajamos desde hace más de 15 años con servidores ubicados en España (Madrid y Bilbao) para ofrecer a nuestros clientes las mejores prestaciones posibles.

  • Hosting especializado en Prestashop con discos SSDPrestashop 1desde4´38€ / mes
  • Hosting especializado en Prestashop con discos SSDPrestashop 2desde5´54€ / mes
  • Hosting especializado en Prestashop con discos SSDPrestashop 3desde8´34€ / mes
  • Hosting especializado en Prestashop con discos SSDPrestashop 1desde4´38€/mes
  • Hosting especializado en Prestashop con discos SSDPrestashop 2desde5´54€/mes
  • Hosting especializado en Prestashop con discos SSDPrestashop 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rapido SSDAlmacenamiento en disco duro ultra rapido SSDAlmacenamiento en disco duro ultra rapido SSDAlmacenamiento en disco duro ultra rapido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu Prestashop
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Prestashop
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Prestashop
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!