skype kontakt - presta.profi

Home » novinky » Bezpečnostní hrozba malware a PHPUnit – XsamXadoo

Bezpečnostní hrozba malware a PHPUnit – XsamXadoo

Bezpečnostní hrozba malware a PHPUnit by mohla tématicky navázat na předchozí článek o HACKU prestashop a prevenci. Souvisí to s obecně populárním tématem hrozby HACKU a aktualizacích software a aplikací.
Zde se zaměříme na Prestashop, kde aktuální konkrétní hrozba se nazývá XsamXadoo. XsamXadoo zneužívá komponentu Prestashopu framework PHPUnit, který má umožnit převzít kontrolu nad Vaším eshopem (obecné info – vysvětlení pojmů a souvislostí zde).

Aktuální králem hacků na Prestashopu je XsamXadoo, je pouze otázkou času kdy bude jiným hackem nahrazen

Uvědomte si že hrozba XsamXadoo je pouze aktuální „hvězdou“ v mediálním prostoru, už zítra, za týden, za měsíc to bude zase jiný hack. Chování a zájem hackerů se nedá předem specifikovat a konkrétní řešení je vždy pouze reakce a na danou akci. Naopak prevence v podobě „dobrých návyků“ v podobě nutnosti aktualizovat eshop, využívat pouze nejnutnější množství a převážně licencovaných externích modulů a chovat se bezpečně je právě ta prevence na které bez Vašho vědomí končí 99.9999% všech pokusů Váš eshop atakovat, případně zneužít.

 

Postupy pro řešení hacku XsamXadoo naleznete níže

 

Nápomocný a užitečný Hosting vs PHPUnit

Může být nápomocen a preventivně vyřadit potencionálně nebezpečné adresáře. Níže příklad u hostingu C4.cz který používám a doporučuji i klientům provedl hromadné znepřístupnění ohrožených adresářů.

Ve frameworku PHPUnit, který Váš web také využívá, začalo docházet k masovému zneužívání bezpečnostní chyby. Z tohoto důvodu jsme na webu www.vasedomena.cz přejmenovali všechny adresáře /phpunit na /phpunit-(náhodný řetězec). Tím došlo k odstavení potenciálně nebezpečného frameworku.

PHPUnit slouží k automatizovanému testování PHP skriptů, takže na běžný provoz webů nemá žádný vliv. Je součástí například aplikace PrestaShop – viz https://build.prestashop.com/news/critical-security-vulnerability-in-prestashop-modules/ . Pokud framework využíváte k vlastním účelům, doporučujeme před jeho opětovným použitím provést aktualizaci na nejnovější verzi.

Tímto byl nejrychlejší formou problém v rámci instalace Prestashopu hromadně vyřešen. Všechny potencionálně rizikové adresáře ve svém základu nejsou hackerům dostupné. Provozovatelé eshopu mimo zmíněný hosting C4.cz neváhejte s touto problematikou kontaktovat Váš hosting. Ptejte se zda neplánuje podobnou prevenci a pokud ne sami si zajistěte externí support.

 

 

Samostatní tvůrci a provozovatelé – realizace svépomocí

Pokud jste eshop realizovali svépomocí postupujte následovně

  1. Otestujte si zda Váš eshop je ohrožen, můžete použít modul zde kontrola na xsamxadoo zranitelnost
  2. Pokud je test pozitivní postupujte podle pokynů výrobce Prestashop Security announcement: your store may be vulnerable to malware
  3. Zkontrolujte si zda eshop v sekci modulů nenabízí aktualizaci rizikových modulů critical security vulnerability in prestashop modules
  4. V momentě kdy Prestashop vydá stable subverzi 1.7.6.3 (nyní k dispozici 1.7.6.2 bez zabezpečení) využijte možnost aktualizace Prestashop versions
  5. Uživatelé externích modulů budou muset počítat s náklady na licence komerčních modulů, pokud nemají to štěstí že moduly jsou v supportní lhůtě výrobce

POZOR: Tyto možnosti v plném rozsahu mají pouze provozovatelé nové generace Prestashop 1.7.+. Provozovatelé starších generací (1.6.1 a starších) budou nuceni poptat alespoň základní zabezpečení uvedených v bodě 1 a 2. Zda nepůjde poouze o krátkodobý efekt bohužel nelze předjímat.

Je čas také zvážit zda není správný čas využít moderní generace 1.7.5+. Prestashop 1.7.5.+ umožňují nízkonákladový upgrade subverzí, bez obav z poškození zakázkově modifikované šablony či modulů. Mezigenerační upgrade obnáší individuální náklady spojené s typem šablony a množství externích modulů.

 

 

Webmaster či externí support

Externí support či webmaster na Vaši žádost problém vyřeší k plné spokojenosti,bude nutné si pouze dohodnout rozsah. Zmíním zde bod 4 ze seznamu výše, aktualizace na novou subverzi není jako taková není náročná a nákladná. Aktualizace navazuje na bod 5 seznamu, kde v případě že již nejste v supportní lhůtě výrobce modulu, tito budou chtít zakoupení nových licencí. V případě většího množství či u nákladnějších modulů je třeba tohle brát v potaz. Samozřejmě to není důvod proč váhat aktualizaci nepoužít. Náklady spojené s nápravou škod po hacku jsou vždy nesrovnatelně vyšší.

Zde by měl být aplikován postup který je uveden výše jako doporučení. Náklady spojené se supportem jsou zcela jistě bagatelní ve srovnání s potenciálem problémů, které by následovaly v případě že by hackeři uspěly. Budu stále opakovat – chovejte se zodpovědně a mějte Prestashop aktuální. Jde o jedinou prevenci proti základním hackům.

Hack XsamXadoo neohrožuje pouze provozovatele hodně zastaralých verzí (tipuji že 1.5 a starších) neobsahující PHPUnit (otestujte si či požádejte o test modulem). Provozovatelé verzí 1.6 budou nuceni poptat základní zabezpečení bez možnosti náhrady zmíněných modulů. Dodatečně zastaralé verze 1.5 a starší nejsou žádná výhra. To aby nevznikl falešný pocit že to staré bylo lepší. Tyto eshopy jsou bez vědomí provozovatelů hendikepované mnoha vyhledávacími a validačními roboty. To že nebyly hacknuty je pouze věc náhody a otázka času.

 

Mé klienty žádám aby mě kontaktovali s předmětem XsamXadoo a dohodnuli si termín supportu, děkuji

V případě že se nespokojí se základním zabezpečením provedeným hostingem. POZOR: zmíněné zabezpečení realizoval pouze hosting C4.cz. Není mi známo co a jestli něco aplikoval jiný hosting. Ve vlastním zájmu se prosím informujte.

 

 

Zabezpečení od výrobce eshopu Prestashop

Výrobce Prestashopu reagoval obratem a vydal okamžitou aktualizaci sady dotčených modulů na které hackerský útok cílí.

  • 1-Click upgrade: v4.10.1
  • Cart Abandonment Pro: v2.0.10
  • Faceted Search: v3.4.1
  • Merchant Expertise: v2.3.2
  • PrestaShop Checkout: v1.2.9

Zcela jistě bude následovat v dohledné době nová aktualizace 1.7.6.3 která novým provozovatelům musí poskytnout bezpečnou instalaci a stávajícím provozovatelům generace 1.7.+ umožní využít další bezpečnostní upgrade zdarma. Provedené změny každé subverze vždy prezentuje changelog, který je k dipozici na stránkách výrobce www.prestashop.com/en/previous-versions,

POZOR: Výše zmíněné opravy se bohužel týkají pouze aktální generace Prestashop 1.7.+. U starší generace Prestashop je nutno vylouučit výskyt/vendor/phpunit adresářů pomocí zmíněného modulu v seznamu výše. Případný další support a prevenci proberte s dodavateli či webmastery.

 

 

Z praxe je mi známo, že někteří provozovatelé v dobré víře, že mají vše v pořádku netuší o absenci každodenních záloh souborů eshopu a databáze. Nezmiňuji to, že předchozí činnost nezodpovědných realizátorů mohly v minulosti jejich eshop dostat do stavu, kdy bez ztráty nekorektních modifikací eshop není možno aktualizovat.

 

Přehled nabízených služeb k eshopu PrestaShop je součástí kontaktního formuláře Kontaktujte nás!