Les moteurs Prestashop font l’objet d’une vulnérabilité qui est actuellement exploitée par un malware nommé XsamXadoo Bot, qui permet l’accès et le contrôle de différents paramètres d’une boutique.
Principe de la faille
Le malware utilise une vulnérabilité connue de l’outil PHP « PHPUnit » publiée en 2017 sous la référence CVE-2017-9841
Cet outil est uniquement utilisé pour le développement de modules Prestashop et n’est normalement pas exploité dans les modules en production, les archives d’installation des modules ne sont pas censées contenir de fichiers permettant d’exploiter cette faille.
Malheureusement, les archives ZIP de certains modules ont été publiées avec ces fichiers vulnérables, et à défaut de suppression de ces derniers, certaines boutiques en ligne sont actuellement compromises.
Comment déterminer si ma boutique sous Prestashop est concernée ?
Pour vous assurer que votre boutique n’est pas concernée, inspectez le répertoire modules/ de votre Prestashop :
Pour chacun des répertoires de modules, assurez-vous qu’il ne contienne pas de dossier « vendor » qui lui même contiendrait un dossier « phpunit »
=> Si le répertoire de l’un de vos modules contient le dossier « vendor/phpunit », votre boutique est vulnérable et un hacker serait en mesure d’uploader des fichiers malveillants dans votre boutique
Ma boutique est vulnérable, que faire ?
1 / Nettoyez les fichiers vulnérables :
Supprimez tout dossier « vendor/phpunit » que vous aurez trouvé. Cela n’aura aucune influence sur le bon fonctionnement du ou des module(s), comme évoqué plus haut, l’outil PHPUnit n’est utilisé que pour le développement de modules, une fois en production, ces fichiers ne sont plus utiles.
Sur votre serveur Linux dédié ou VPS , la procédure de nettoyage pour réparer une boutique vulnérable peut être effectuée en utilisant la ligne de commande bash suivante depuis le répertoire modules/ de la boutique :
find . -type d -name "phpunit" -exec rm -rf {}\;
Cette commande requiert les droits d’utilisateur appropriés.
Cependant, vous devez également vérifier si, alors que votre boutique était vulnérable, elle a été compromise.
Si vous êtes hébergé sur notre plateforme mutualisée (IcoPack.Web.Standard, Web.Pro ou Pro+, ainsi que IcoPack.Web Multi ou Dev), supprimez les fichiers « vendor/phpunit », mais rassurez-vous, votre boutique n’est pas menacée, les versions de PHP installées sur notre plateforme mutualisée est patchée contre cette faille.
2 / Recherchez et supprimez les fichiers indésirables et remplacez les fichiers modifiés présents sur votre serveur
La vulnérabilité permet à un attaquant d’exécuter du code PHP sur votre boutique.
Cela signifie qu’un attaquant peut :
– lire le contenu de votre base de données pour voler des données
– télécharger des fichiers sur votre serveur
– modifier les fichiers sur votre serveurs
Si votre boutique s’est avérée vulnérable, vous devez inspecter scrupuleusement les fichiers de votre boutique afin de savoir si certains fichiers ont été ajoutés ou modifiés.
Dans le cas qui a été signalé (XsamXadoo Bot), des fichiers indésirables avec le nom XsamXadoo_Bot.php ont été trouvés sur les serveurs piratés. Il est nécessaire de les supprimer.
En suivant cet exemple, vous devez suivre et supprimer les fichiers compromis sur votre serveur.
Vous devez également vous assurer que les fichiers de votre boutique n’ont pas été modifiés, et les remplacer si besoin.
Vous n’êtes pas en mesure d’effectuer ces vérifications ou nettoyage de fichiers ?
Notre service développement peut vous proposer une prestation de vérification et éventuellement de nettoyage et de votre boutique Prestashop.
=> N’hésitez pas à nous contacter, nos techniciens sont à votre disposition.