Fakta o XsamXadoo a PHPUnit je článek objasňující mnohé zavádějí a zkreslené informace, které kolují CZ a SK internetem. Formou FAQ (otázka a odpověď) se pokusím vysvětlit laikské veřejnosti převážně technické informace, které si nedokáží dát do srozumitelných souvislostí. Cílem je předejít nějaké zbytečné panice, ale zároveň nepodcenit prevenci a rozumné chování při provozu Prestashopu.
Článek „fakta o XsamXadoo a PHPUnit“ tématicky navazuje na článek bezpečnostní hrozba malware a PHPUnit – XsamXadoo (prezentace identifikace, postupů a řešení).
Je XsamXadoo záležitost Prestashopu?
- NE, jedná se o malware (hack) = software krerý, má za úkol infiltrovat webovou aplikaci a následně nad ní převzít kontrolu.
- XsamXadoo Bot, je specifická varianta vytvořená pro Prestashop.
- XsamXadoo využívá PHPUnit což je komponenta, kterou používá kdokoliv komu je užitečná v rámci vývoje webové aplikace.
- Prestashop je pouze jeden z mnoha uživatelů PHPUnite.
- Obecně téměř každá, ne li každá webová aplikace a to včetně licencovaných komerčních eshopů, využívá obrovské množství podobných frameworků jako je nyní uváděný PHPUnit.
- Užití frameworků jako jsou PHPUnit je běžná praxe, která přináší velké úspory času při tvorbě webových aplikací a samozřejmě umožňují dostupnost free licencí či přijatelně cenově dostupných komerčních aplikací.
Proč je v souvislosti XsamXadoo uváděn Prestashop?
- Po objevení XsamXadoo Bot tvůrce Prestashopu zveřejnil upozornění na potencionální nebezpečí ve spojení s užitím PHPUnit.
- Při zjišťování podrobností je uváděno že XsamXadoo Bot je pouze verze malweru zacílená na Prestashop.
- Zde má spekulace: ve spojení, že je prezentováno XsamXadoo Bot jako verze / varianta malweru zacílená na Prestashop, jsem si odvodil, že existuje verze mimo Prestashop (hackuje další webové aplikace díky zranitelnosti PHPUnit).
Je XsamXadoo a PHPUnit problém Prestashop 1.7.x?
- NE, informace které to prezentují jako problém Prestashop 1.7 je zřejmě nejvíc zavádějící (netuším zda náhodou či účelově), výskyt PHPUnite je součástí i starších verzích Prestashopu.
- Hosting detekoval přítomnost PHPUnit i ve starších verzích Prestashop, konkrétně 1.6.1.+.
- Subjekty prezentující fakta se odkazují na článek CVE-2017-9841 který uvádí rizika spojené s užitím PHP 5.6 a starších., Prestashop 1.7.x doporučuje užití verzí PHP7+ tímto by se mělo opět snížit množství potencionálně ohrožených eshopů.
- PHP 5.6 a starší byli záležitostí starších verzí Prestashopu 1.6 určitě 1.5 možná, Prestashop 1.7 ji užíval účelově aby usnadnil přechod ze starších verzí.
Co je PHPUnit?
- Jak jsem zmínil jde o dostupnou komponentu framework, který je dostupný mnoha vývojářům podle potřeby viz odkaz zde phpunit.de
- Frameworky jako PHPUnit jsou masově užívány v nekomerčních i komerčních webových aplikacích, Prestashop je pouze jeden z mnoha uživatelů.
- Frameworky jako PHPUnit usnadňují a zlevňují vývoj webových aplikací, takže asi nelze zjednodušeně vyčítat vývojářům jejich užití.
Proč se v Prestashop dohledává PHPUnit?
- Tuto komponentu zneužily tvůrci XsamXadoo Bot pro průnik do pozadí aplikace a tvoří zadní vrátka pro jejich další nežádoucí činnost.
- Pro detekci můžete použít modul zde kontrola na xsamxadoo zranitelnost.
Je samotný výskyt PHPUnit zárukou napadení a zneužití Prestashopu?
- NE, je to zmíněno jako potencionální hrozba a proto všechny zúčastněné skupiny ihned reagují a snaží se zamezit zneužití.
- Musíte mít tu smůlu že:
- nemáte aktuální verze generace 1.7
- používáte starší PHP5.6 a starší
- neprovedli jste prevenci ve smyslu dohledání a přejmenování adresářů s rizikovým PHPUnit
- Váš eshop se nějak dostal na seznam cílů, které si našel malware XsamXadoo Bot
- Pokud jste se stali cílem a Váš eshop byl napaden, obnova nebude možná na původní starou verzi bez jejího komplexního zabezpečení či upgradu. Vyhledejte a kontaktujte profesionální pomoc.
V případě napadení bych realizoval aplikaci datového převodu do čisté instalace nejnovější stable verze Prestashopu
Preventivní možnosti a postupy ochrany před XsamXadoo
- dohledejte si adresáře s PHPUnit
- aktualizujte výrobcem Prestashopu označené a modifikované moduly obsahující PHPUnit (bohužel již pouze pro PS 1.7.+ verze 1.6 a starší jsou již bez podpory)
- zbylé adresáře s PHPUnit by v prvním kroku mělo stačit přejmenovat (příklad: phpunit na phpunit-0124579 / phpunit + náhodný řetězec), tento postup aplikujte na staší verze 1.6.- (tyto verze již Prestashop nepodporuje)
- uživatelům PS 1.7.+ doporučuji vyžít aktualizaci na očekávanou subverzi 1.7.6.3 (nyní k dispozici 1.7.6.2 bez zabezpečení)
- uživatelům PS 1.6 a starších doporučuji upgrade na PS1.7.6.+ a využíváte trvalé možnosti upgradů nabízených zdarma, je pouze otázkou času kdy XsamXadoo Bot nahradí jiný hack
Pouze aktuální verze bez Vašeho vědomí a pozornosti eliminují převážnou část útoků a pokusů a hack Vašich eshopů
Přehled nabízených služeb k eshopu PrestaShop je součástí kontaktního formuláře Kontaktujte nás!
Byl článek užitečný? Dejte Like:)