[VULNERABILIDAD CRÍTICA] Malware XsamXadoo Bot en Prestashop

Publicado en: 3 de enero de 2020
  • [VULNERABILIDAD CRÍTICA] Malware XsamXadoo Bot en Prestashop

Desde este 2 de enero del 2020, el equipo de Prestashop ha detectado una importante brecha de seguridad catalogada como CRÍTICA dentro de sus archivos y que está afectando a varias versiones de Prestashop y a varios módulos.

La vulnerabilidad esta presente en una herramienta de PHP llamada PHPUnit y es aprovechada por el Malware llamado XsamXadoo Bot. Este Malware a través de la herramienta PHPUnit consigue los accesos de la tienda y se hace con el control de esta provocando daños irreversibles a los negocios de todos los usuarios que tienen una tienda con esta vulnerabilidad.

¿Qué es PHPUnit?

Esta herramienta es un Framework que se utiliza para la realización de pruebas unitarias en los desarrollos de aplicaciones. Aunque su uso no es habitual en Prestashop ni es los módulos, hay módulos de Prestashop desarrollados por terceros que sí utilizan este Framework. Por ese motivo el alcance de esta brecha de seguridad puede llegar a ser bastante amplio.

¿Cuál es la forma de proceder del Malware XamXadoo Bot?

La forma de proceder de este Malware es básicamente la de conseguir acceso a la tienda a través del código vulnerable de la herramienta PHPUnit y la posterior inserción de unos archivos con código malicioso dentro del directorio de la tienda. El código que hay dentro de estos archivos le permiten hacerse con el control de la tienda y así poder robar más datos.

Por el momento se tiene constancia que los archivos que crea el Malware son los siguientes:

  • XsamXadoo_Bot.php
  • XsamXadoo_deface.php
  • 0x666.php
  • f.php

Debes saber que si tienda es vulnerable no significa que esté infectada. Pero si el Malware ataca la tienda, entonces conseguirá acceder y por lo tanto infectará con código malicioso a través de los archivos mencionados.

Módulos afectados por la vulnerabilidad

El equipo de Prestashop ha reportado que la vulnerabilidad se encuentra en los siguientes módulos desarrollados por ellos:

  • 1-Click Upgrade (autoupgrade): versión 4.0 beta y posteriores.
  • Cart Abandonment Pro (pscartabandonmentpro): versión 2.0.1~2.0.2
  • Faceted Search (ps_facetedsearch): versión 2.2.1~3.0.0
  • Merchant Expertise (gamification): versión 2.1.0 and later
  • PrestaShop Checkout (ps_checkout): versión 1.0.8~1.0.9

Han podido corregir el problema y han actualizado estos módulos a las siguientes versiones:

  • 1-Click upgrade: versión 4.10.1
  • Cart Abandonment Pro: versión 2.0.10
  • Faceted Search: versión 3.4.1
  • Merchant Expertise: versión 2.3.2
  • PrestaShop Checkout: versión 1.2.9

IMPORTANTE: Esta lista es solo de los módulos desarrollados por Prestashop y que han detectado que tienen la vulnerabilidad con PHPUnit. Sin embargo, como hemos comentado antes, pueden existir muchos más módulos desarrollados por terceros que también tengan la vulnerabilidad.

Si quieres más información sobre este problema crítico, haz clic en los siguientes links:

Base de Datos Nacional de Vulnerabilidades CVE-2017-9841

build.prestashop.com

Prestashop.com

Cómo comprobar y solucionar la vulnerabilidad con PHPUnit

Los pasos para saber si tu tienda online es vulnerable a este Malware no son complicados pero requieren de ciertos conocimientos en el manejo de software FTP (File Transfer Protocol) o de acceso a los sistemas de archivos del servidor a través del panel de hosting web, además de disponer de tiempo para hacer las comprobaciones carpeta por carpeta.

A continuación te explicamos cómo realizar la comprobación:

 Primeramente tienes que encontrar la vulnerabilidad. Esta está dentro de los directorios /vendor/phpunit/. Puede encontrarse en el directorio raíz de la tienda o dentro de las carpetas de los módulos.

 Ir a la carpeta raíz de la tienda y comprobar si existe la carpeta “phpunit” dentro del directorio /vendor/phpunit/. Si existe la carpeta “phpunit” deberás eliminarla junto con todo su contenido.

 Ir a la carpeta “modules” de la tienda y comprobar en cada uno de los módulos si existe la carpeta  “vendor” y si dentro de esta carpeta se encuentra la carpeta “phpunit”. Si existe la carpeta “phpunit” también deberás eliminarla junto con todo su contenido.

 Si no existe el directorio /vendor/phpunit/ en el directorio raíz o en los módulos, entonces tu Prestashop no es vulnerable al Malware XsamXadoo Bot. Pero si en los pasos anteriores has encontrado carpetas “phpunit” significa que tu tienda ha sido vulnerable al ataque del Malware, por lo que es posible que sin saberlo tu tienda ya esté infectada. En este caso habría que analizar carpeta por carpeta en todo el directorio de la tienda en busca de los archivos con código malicioso mencionados más arriba.

Esta es la tarea más complicada y que requiere de un proceso automatizado solamente disponible en los módulos que se hayan diseñado para solucionar este problema.

En Liewebs hemos desarrollado un módulo muy sencillo de manejar, PRESTASHOP STOP VULNERABILITY.

El módulo analiza, detecta y corrige automáticamente si existe esta brecha de seguridad con PHPUnit en tu tienda Prestashop y en los módulos que tienes instalados.Además si la tienda ha sido infectada con el código malicioso, el módulo Prestashop Stop Vulnerability es capaz de buscar y encontrar los archivos infectados para eliminarlos automáticamente.

También hemos desarrollado la herramienta Search Tool PRO para que puedas buscar fragmentos de código malicioso (Malware), virus o código Phishing, dentro de los archivos de la tienda de manera rápida y totalmente eficaz, para que puedas detectar la amenaza y neutralizarla.

Publicidad

 

¿No sabes si tu tienda online está afectada por esta vulnerabilidad o ya ha sido infectada por este Malware?

Realizamos servicios de análisis, detección y desinfección web para neutralizar esta y otras amenazas. Solicítanos más información en el siguiente link

Artículos relacionados

Échale un vistazo a estos otros artículos relacionados