Ekipa developerów popularnego PrestaShop informuje iż wykryli nieznane wcześniej luki w zabezpieczeniach swojego popularnego systemu e-commerce. Luki pozwalają na wykonanie dowolnego kodu na serwerze jak np. kradzieży informacji o płatnościach klienta. Luka w PrestaShop jak ją załatać? Na obecną chwilę realizowane są testy i developerzy są już prawie „pewni”, w jaki sposób dokonuje się ataku. Podejrzenie padło na SQL. Ekipa PrestaShop rozesłała już mailing do użytkowników systemu ale jeżeli go nie otrzymałeś, przygotowujemy tę krótką informację.
Która wersja PrestaShop ma luki?
Po pierwsze głównym warunkiem powodzenia ataku jest, aby sklep był podatny na atak typu SQL injection. Developerzy PrestaShop podejrzewają iż luki umożliwiające wykonanie dowolnego kodu na serwerze poprzez ten atak dotyczą sklepu od wersji 1.6.0.10 i nowszych. Natomiast co się tyczy wersji PrestaShop powyżej 1.7.8.2 – tu nie wykryto zagrożenia. Oczywiście pod jednym warunkiem – dotyczy to podstawowej instalacji PrestaShop. jeżeli używasz niestandardowego kodu lub dodatkowych modułów jak np. moduł Lista życzeń (blockwishlist), który w wersji 2.0.0~2.1.0 może być właśnie podatny na ataki.
Oficjalna wiadomość od PrestaShop.Jak zabezpieczyć PrestaShop?
Po pierwsze nigdy nie omijaj aktualizacji PrestaShop gdy jest dostępna. Wykonuj często kopie zapasowe swojego PrestaShop. Dzięki pracy ekipy i społeczności PrestaShop jest już krytyczna aktualizacja sklepu oznaczone numerkiem 1.7.8.7, która łata wykryte luki SQL. Poprawia ona podatności i zapobiega atakom na Twój PrestaShop. Już teraz wykonaj kopię zapasową i zaktualizuj swój PrestaShop. Upewnij się iż Twój sklep jest zaktualizowany do najnowszej wersji. Tyczy się to również używanych dodatkowych modułów. Zapobiegnie to wykorzystaniu luki typu SQL injection.
Pamiętaj, jeżeli Twój sklep już został zhackowany i padł ofiarą hackerów to aktualizacja nie przywróci mu bezpieczeństwa. W tej sytuacji przywróć sklep z kopii zapasowej i jak najszybciej zaktualizuj cały PrestaShop oraz używane moduły, do najnowszej dostępnej wersji.
Wektor ataku na PrestaShop – SQL.
Zgodnie z wiedzą ekipy PrestaShop na temat dostępnego już exploita, osoby atakujące mogą używać funkcji przechowywania pamięci podręcznej MySQL Smarty jako części wektora ataku. Ta funkcja jest rzadko używana i jest domyślnie wyłączona, ale atakujący może ją włączyć zdalnie. Do czasu opublikowania łatki zalecają fizyczne wyłączenie tej funkcji w kodzie PrestaShop w celu przerwania łańcucha ataków.
Jeśli jeszcze nie możesz wykonać aktualizacji a chcesz maksymalnie zabezpieczyć się przed luką zlokalizuj plik config/smarty.config.inc.php i usuń z kodu linie 43-46 (dot. PrestaShop 1.7) lub 40-43 (jeśli posiadasz PrestaShop 1.6):
if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') { include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php'; $smarty->caching_type = 'mysql'; }Oficjalną wiadomość od ekipy PrestaShop możesz przeczytać tutaj.
Wykonuj kopie zapasowe i aktualizacje automatycznie.
Jeśli instalowałeś swój sklep dzięki autoinstalatora łatwo możesz włączyć automatyczne aktualizacje Prestashop oraz kopie zapasowe swojego sklepu, tak by nie musieć o nich pamiętać. Dzięki temu Twój e-commerce jest zawsze bezpieczniejszy.
Autoinstalator w HitMe. Automatyczne kopie i aktualizacje w Prestashop.Podsumowanie – luka w PrestaShop.
Jeśli wersja Twojego PrestaShop to 1.6.0.10 lub nowsza, jeżeli aktywowałeś dodatkowe moduły – takie jak moduł Lista życzeń (blockwishlist) w wersji 2.0.0~2.1.0. Koniecznie dokonaj aktualizacji całego PrestaShop i modułów. Pamiętaj o częstej aktualizacji PrestaShop gdy tylko jest dostępna i wykonuj własne kopie zapasowe.
