Clicky

Defectos críticos en el software 'OXID eShop' exponen a la piratería sitios de comercio electrónico

OXID eShop

Los atacantes pueden ejecutar de forma remota código malicioso en segundos

Si tu sitio web de comercio electrónico se ejecuta en la plataforma OXID eShop, debes actualizarlo de inmediato para evitar que se vea comprometido.

Los investigadores de ciberseguridad han descubierto un par de vulnerabilidades críticas en el software de comercio electrónico OXID eShop que podrían permitir a los atacantes no autenticados tomar el control total de forma remota de los sitios web de comercio electrónico vulnerables en menos de unos segundos.

OXID eShop es una de las principales soluciones de software de tiendas de comercio electrónico alemanas cuya edición empresarial está siendo utilizada por los líderes de la industria, incluidos Mercedes, BitBurger y Edeka.

Los investigadores de seguridad de RIPS Technologies GmbH compartieron sus últimos hallazgos, detallando dos vulnerabilidades críticas de seguridad que afectan las versiones recientes de las ediciones Enterprise, Professional y Community del software OXID eShop.

Cabe señalar que no es necesaria absolutamente ninguna interacción entre el atacante y la víctima para ejecutar ambas vulnerabilidades, y las fallas funcionan en contra de la configuración predeterminada del software de comercio electrónico.

OXID eShop: falla de inyección SQL

La primera vulnerabilidad, asignada como CVE-2019-13026, es una vulnerabilidad de inyección SQL que permite a un atacante no autenticado simplemente crear una nueva cuenta de administrador, con una contraseña de su elección, en un sitio web que ejecuta cualquier versión vulnerable del software OXID eShop.

"Una inyección SQL no autenticada puede explotarse al ver los detalles de un producto. Dado que la base de datos subyacente utiliza el controlador de la base de datos PDO, se pueden utilizar las consultas apiladas para INSERTAR datos en la base de datos. En nuestro exploit abusamos esto para INSERTAR (INSERT) un nuevo usuario administrador", dijeron los investigadores.

Aquí hay un vídeo de prueba de concepto demostrando este ataque:

Aunque el sistema de base de datos PDO ha sido diseñado para evitar ataques de inyección SQL utilizando sentencias preparadas, el uso de comandos SQL de compilación dinámica podría dejar consultas apiladas con un mayor riesgo de contaminarse.

OXID eShop: falla de ejecución remota de código (RCE)

La segunda vulnerabilidad es un problema de inyección de objetos PHP, que reside en el panel de administración del software OXID eShop y ocurre cuando la entrada suministrada por el usuario no se desinfecta adecuadamente antes de pasar a la función PHP unserialize().

Esta vulnerabilidad se puede aprovechar para obtener la ejecución remota de código en el servidor; sin embargo, requiere acceso administrativo que se puede obtener utilizando la primera vulnerabilidad.

"Luego se puede encadenar una segunda vulnerabilidad para obtener la ejecución remota de código en el servidor. Tenemos un exploit Python2.7 totalmente funcional que puede comprometer directamente a los OXID eShops que requieren solo la URL como argumento", dijeron los investigadores.

Aquí está el video de demostración que muestra el ataque RCE en acción:

Una vez que tienen éxito, los atacantes pueden ejecutar de forma remota código malicioso en el servidor subyacente, o instalar su propio complemento malicioso para robar las tarjetas de crédito de los usuarios, la información de la cuenta de PayPal y cualquier información financiera altamente sensible que pase por el sistema eShop, al igual que los ataques de MageCart.

Los investigadores de RIPS informaron de manera responsable sus hallazgos a OXID eShops, y la compañía reconoció el problema y lo abordó con el lanzamiento de OXID eShop v6.0.5 y 6.1.4 para las tres ediciones.

Parece que la compañía no parcheó la segunda vulnerabilidad, sino que simplemente la mitigó al abordar el primer problema. Sin embargo, en el futuro, si se descubre algún problema de toma de control del administrador, se revivirán los ataques RCE.

Jesus_Caceres