Bezpečnostní hrozba malware a PHPUnit by mohla tématicky navázat na předchozí článek o HACKU prestashop a prevenci. Souvisí to s obecně populárním tématem hrozby HACKU a aktualizacích software a aplikací.
Zde se zaměříme na Prestashop, kde aktuální konkrétní hrozba se nazývá XsamXadoo. XsamXadoo zneužívá komponentu Prestashopu framework PHPUnit, který má umožnit převzít kontrolu nad Vaším eshopem (obecné info – vysvětlení pojmů a souvislostí zde).
Aktuální králem hacků na Prestashopu je XsamXadoo, je pouze otázkou času kdy bude jiným hackem nahrazen
Uvědomte si že hrozba XsamXadoo je pouze aktuální „hvězdou“ v mediálním prostoru, už zítra, za týden, za měsíc to bude zase jiný hack. Chování a zájem hackerů se nedá předem specifikovat a konkrétní řešení je vždy pouze reakce a na danou akci. Naopak prevence v podobě „dobrých návyků“ v podobě nutnosti aktualizovat eshop, využívat pouze nejnutnější množství a převážně licencovaných externích modulů a chovat se bezpečně je právě ta prevence na které bez Vašho vědomí končí 99.9999% všech pokusů Váš eshop atakovat, případně zneužít.
Postupy pro řešení hacku XsamXadoo naleznete níže
Nápomocný a užitečný Hosting vs PHPUnit
Může být nápomocen a preventivně vyřadit potencionálně nebezpečné adresáře. Níže příklad u hostingu C4.cz který používám a doporučuji i klientům provedl hromadné znepřístupnění ohrožených adresářů.
Ve frameworku PHPUnit, který Váš web také využívá, začalo docházet k masovému zneužívání bezpečnostní chyby. Z tohoto důvodu jsme na webu www.vasedomena.cz přejmenovali všechny adresáře /phpunit na /phpunit-(náhodný řetězec). Tím došlo k odstavení potenciálně nebezpečného frameworku.
PHPUnit slouží k automatizovanému testování PHP skriptů, takže na běžný provoz webů nemá žádný vliv. Je součástí například aplikace PrestaShop – viz https://build.prestashop.com/news/critical-security-vulnerability-in-prestashop-modules/ . Pokud framework využíváte k vlastním účelům, doporučujeme před jeho opětovným použitím provést aktualizaci na nejnovější verzi.
Tímto byl nejrychlejší formou problém v rámci instalace Prestashopu hromadně vyřešen. Všechny potencionálně rizikové adresáře ve svém základu nejsou hackerům dostupné. Provozovatelé eshopu mimo zmíněný hosting C4.cz neváhejte s touto problematikou kontaktovat Váš hosting. Ptejte se zda neplánuje podobnou prevenci a pokud ne sami si zajistěte externí support.
Samostatní tvůrci a provozovatelé – realizace svépomocí
Pokud jste eshop realizovali svépomocí postupujte následovně
- Otestujte si zda Váš eshop je ohrožen, můžete použít modul zde kontrola na xsamxadoo zranitelnost
- Pokud je test pozitivní postupujte podle pokynů výrobce Prestashop Security announcement: your store may be vulnerable to malware
- Zkontrolujte si zda eshop v sekci modulů nenabízí aktualizaci rizikových modulů critical security vulnerability in prestashop modules
- V momentě kdy Prestashop vydá stable subverzi 1.7.6.3 (nyní k dispozici 1.7.6.2 bez zabezpečení) využijte možnost aktualizace Prestashop versions
- Uživatelé externích modulů budou muset počítat s náklady na licence komerčních modulů, pokud nemají to štěstí že moduly jsou v supportní lhůtě výrobce
POZOR: Tyto možnosti v plném rozsahu mají pouze provozovatelé nové generace Prestashop 1.7.+. Provozovatelé starších generací (1.6.1 a starších) budou nuceni poptat alespoň základní zabezpečení uvedených v bodě 1 a 2. Zda nepůjde poouze o krátkodobý efekt bohužel nelze předjímat.
Je čas také zvážit zda není správný čas využít moderní generace 1.7.5+. Prestashop 1.7.5.+ umožňují nízkonákladový upgrade subverzí, bez obav z poškození zakázkově modifikované šablony či modulů. Mezigenerační upgrade obnáší individuální náklady spojené s typem šablony a množství externích modulů.
Webmaster či externí support
Externí support či webmaster na Vaši žádost problém vyřeší k plné spokojenosti,bude nutné si pouze dohodnout rozsah. Zmíním zde bod 4 ze seznamu výše, aktualizace na novou subverzi není jako taková není náročná a nákladná. Aktualizace navazuje na bod 5 seznamu, kde v případě že již nejste v supportní lhůtě výrobce modulu, tito budou chtít zakoupení nových licencí. V případě většího množství či u nákladnějších modulů je třeba tohle brát v potaz. Samozřejmě to není důvod proč váhat aktualizaci nepoužít. Náklady spojené s nápravou škod po hacku jsou vždy nesrovnatelně vyšší.
Zde by měl být aplikován postup který je uveden výše jako doporučení. Náklady spojené se supportem jsou zcela jistě bagatelní ve srovnání s potenciálem problémů, které by následovaly v případě že by hackeři uspěly. Budu stále opakovat – chovejte se zodpovědně a mějte Prestashop aktuální. Jde o jedinou prevenci proti základním hackům.
Hack XsamXadoo neohrožuje pouze provozovatele hodně zastaralých verzí (tipuji že 1.5 a starších) neobsahující PHPUnit (otestujte si či požádejte o test modulem). Provozovatelé verzí 1.6 budou nuceni poptat základní zabezpečení bez možnosti náhrady zmíněných modulů. Dodatečně zastaralé verze 1.5 a starší nejsou žádná výhra. To aby nevznikl falešný pocit že to staré bylo lepší. Tyto eshopy jsou bez vědomí provozovatelů hendikepované mnoha vyhledávacími a validačními roboty. To že nebyly hacknuty je pouze věc náhody a otázka času.
Mé klienty žádám aby mě kontaktovali s předmětem XsamXadoo a dohodnuli si termín supportu, děkuji
V případě že se nespokojí se základním zabezpečením provedeným hostingem. POZOR: zmíněné zabezpečení realizoval pouze hosting C4.cz. Není mi známo co a jestli něco aplikoval jiný hosting. Ve vlastním zájmu se prosím informujte.
Zabezpečení od výrobce eshopu Prestashop
Výrobce Prestashopu reagoval obratem a vydal okamžitou aktualizaci sady dotčených modulů na které hackerský útok cílí.
- 1-Click upgrade: v4.10.1
- Cart Abandonment Pro: v2.0.10
- Faceted Search: v3.4.1
- Merchant Expertise: v2.3.2
- PrestaShop Checkout: v1.2.9
Zcela jistě bude následovat v dohledné době nová aktualizace 1.7.6.3 která novým provozovatelům musí poskytnout bezpečnou instalaci a stávajícím provozovatelům generace 1.7.+ umožní využít další bezpečnostní upgrade zdarma. Provedené změny každé subverze vždy prezentuje changelog, který je k dipozici na stránkách výrobce www.prestashop.com/en/previous-versions,
POZOR: Výše zmíněné opravy se bohužel týkají pouze aktální generace Prestashop 1.7.+. U starší generace Prestashop je nutno vylouučit výskyt/vendor/phpunit adresářů pomocí zmíněného modulu v seznamu výše. Případný další support a prevenci proberte s dodavateli či webmastery.
Z praxe je mi známo, že někteří provozovatelé v dobré víře, že mají vše v pořádku netuší o absenci každodenních záloh souborů eshopu a databáze. Nezmiňuji to, že předchozí činnost nezodpovědných realizátorů mohly v minulosti jejich eshop dostat do stavu, kdy bez ztráty nekorektních modifikací eshop není možno aktualizovat.