Un gruppo di malintenzionati ha sfruttando una falla precedentemente non nota nella celebre piattaforma di e-commerce open source PrestaShop per diffondere del codice dannoso con lo scopo di trafugare i dati di pagamento dei clienti nelle pagine per il checkout.
PrestaShop: dati di pagamento dei clienti a rischio
Da tenere presente che essendo PrestaShop una delle principali soluzioni di e-commerce in Europa e in Amarica Latina, con circa 300.000 siti attivi in tutto il mondo, lo scenario descritto poc’anzi risulta essere di gravità piuttosto elevata e potrebbe andare a mettere a rischio tantissimi utenti.
L’aggressione è avvenuta tramite la falla siglata come CVE-2022-36408, una vulnerabilità di SQL injection che riguarda le versioni 1.6.0.10 o superiori. Di conseguenza, i negozi che fanno uso di versioni obsolete del software o altri moduli di terze parti vulnerabili sembrano essere gli obiettivi principali.
Andando più in dettaglio, l'impiego della falla può consentire a un utente malintenzionato di presentare una richiesta appositamente predisposta per eseguire istruzioni arbitrarie, in questo caso specifico inserire un modulo di pagamento "farlocco" sulla pagina per il checkout per intercettare i dati della carta di credito adoperata per il pagamento.
Per evitare di andare incontro a problemi, sino a quando non verrà rilasciata una patch apposita, il team di PrestaShop consiglia innanzitutto di assicurarsi che il negozio online e i relativi moduli siano aggiornati all’ultima versione, il che dovrebbe già impedire l’esposizione alla vulnerabilità.
Considerando poi che gli aggressori potrebbero utilizzare le funzionalità di archiviazione della cache MySQL Smarty come parte del vettore di attacco, è consigliabile disabilitare fisicamente questa funzione nel codice di PrestaShop per evitare che i malintenzionati possano eventualmente abilitarla da remoto.
Ovviamente, per l'utente finale è indispensabile pure adoperare una buona soluzione antivirus sul proprio computer, come nel caso di quelle a marchio Bitdefender.