Лишняя папка и одна ссылка. Сотни интернет-магазинов по всему миру оказались открыты для хакеров

Сотни интернет-магазинов по всему миру оказались открыты для захвата из-за банальной ошибки в настройке. Достаточно одной ссылки – и злоумышленник получает полный контроль над сайтом.

Команда Sansec обнаружила более 200 работающих магазинов на платформе PrestaShop, у которых в открытом доступе осталась папка установки. Такая мелочь на деле дает атакующему почти неограниченные возможности: можно переписать настройки базы данных, войти в административную панель и запустить любой код на сервере.

Проблема затронула магазины в 27 странах. Больше всего уязвимых сайтов нашли во Франции, Италии, Польше и Чехии. Среди них – крупный модный ритейлер с многомиллиардной выручкой, книжные магазины французских университетов и европейская торговая сеть с филиалами в нескольких странах. Владельцев сайтов уже предупредили.

Сценарий атаки выглядит просто. В стандартной поставке PrestaShop есть папка установки – /install/ или /install-dev/. После настройки сайта ее нужно удалить, но многие администраторы забывают это сделать. Если папка остается доступной, любой человек может заново запустить мастер установки прямо в браузере, без авторизации.

Дальше злоумышленник подменяет параметры подключения к базе данных. Система принимает новые данные и фактически разворачивает «чистую» копию магазина с новой учетной записью администратора. При этом ничто не мешает провести процедуру поверх уже работающего сайта. Даже предупреждение на странице входа в админку не спасает. Оно срабатывает только для одной папки установки и влияет лишь на внешний вид страницы. Сам механизм входа продолжает работать, поэтому защиту легко обойти.

Получив доступ к админке, атакующий загружает вредоносный модуль. В процессе установки PrestaShop выполняет код из файлов расширений, что позволяет внедрить веб-оболочку и закрепиться на сервере. После этого злоумышленник может вернуть исходные настройки базы и незаметно работать с данными клиентов.

Отдельная проблема – включенный режим отладки. Еще 15 магазинов оставили открытым инструмент Symfony Profiler. Через него можно увидеть историю запросов к сайту, включая действия администратора. В журнале сохраняются сессионные данные, файлы cookie, учетные данные базы и внутренние настройки приложения.

Ситуацию осложняет то, что программа вознаграждений за найденные ошибки у PrestaShop сейчас приостановлена. Разработчики предлагают отправлять сообщения о проблемах напрямую по электронной почте. При этом речь идет не о дефекте кода, а о неправильной настройке серверов, но отсутствие программы снижает мотивацию сообщать о подобных находках.

Владельцам магазинов советуют как можно скорее удалить папки установки с серверов, отключить режим отладки и проверить сайты на наличие вредоносного кода. В противном случае риск незаметного взлома остается очень высоким.