Si su sitio web de comercio electrónico se ejecuta en el Plataforma OXID eShopdebe actualizarlo de inmediato para evitar que su sitio se vea comprometido.
Los investigadores de ciberseguridad han descubierto un par de vulnerabilidades críticas en el software de comercio electrónico OXID eShop que podrían permitir a los atacantes no autenticados tomar el control total de los sitios web de comercio electrónico vulnerables de forma remota en menos de unos segundos.
OXID eShop es una de las soluciones de software para tiendas de comercio electrónico líderes en Alemania, cuya edición empresarial está siendo utilizada por líderes de la industria, incluidos Mercedes, BitBurger y Edeka.
Los investigadores de seguridad de RIPS Technologies GmbH compartieron sus últimos hallazgos con The Hacker News, detallando dos vulnerabilidades de seguridad críticas que afectan a las versiones recientes de las ediciones Enterprise, Professional y Community del software OXID eShop.
Cabe señalar que no es necesaria absolutamente ninguna interacción entre el atacante y la víctima para ejecutar ambas vulnerabilidades, y las fallas funcionan en contra de la configuración predeterminada del software de comercio electrónico.
OXID eShop: falla de inyección de SQL
La primera vulnerabilidad, asignada como CVE-2019-13026, es una vulnerabilidad de inyección SQL que permite a un atacante no autenticado simplemente crear una nueva cuenta de administrador, con una contraseña de su elección, en un sitio web que ejecuta cualquier versión vulnerable del software OXID eShop.
«Se puede explotar una inyección SQL no autenticada al ver los detalles de un producto. Dado que la base de datos subyacente utiliza el controlador de la base de datos PDO, las consultas apiladas se pueden usar para INSERTAR datos en la base de datos. En nuestro exploit, abusamos de esto para INSERTAR un nuevo usuario administrador «, dijeron los investigadores a The Hacker News.
Aquí hay un video de prueba de concepto que los investigadores compartieron con The Hacker News, demostrando este ataque:
Aunque el sistema de base de datos PDO ha sido diseñado para evitar ataques de inyección de código SQL mediante sentencias preparadas, el uso de comandos SQL creados dinámicamente podría dejar consultas apiladas con un mayor riesgo de corromperse.
OXID eShop: falla de ejecución remota de código
La segunda vulnerabilidad es un problema de inyección de objetos PHP, que reside en el panel de administración del software OXID eShop y ocurre cuando la entrada proporcionada por el usuario no se desinfecta adecuadamente antes de pasar a la función PHP de deserializar ().
Esta vulnerabilidad se puede explotar para obtener la ejecución remota de código en el servidor; sin embargo, requiere acceso administrativo que se puede obtener usando la primera vulnerabilidad.
«Luego se puede encadenar una segunda vulnerabilidad para obtener la ejecución remota de código en el servidor. Tenemos un exploit de Python2.7 completamente funcional que puede comprometer las tiendas electrónicas OXID directamente y solo requiere la URL como argumento», dijeron los investigadores a The Hacker News.
Aquí está la demostración en video que muestra el ataque RCE en acción:
Una vez que tienen éxito, los atacantes pueden ejecutar de forma remota código malicioso en el servidor subyacente o instalar su propio complemento malicioso para robar las tarjetas de crédito de los usuarios, la información de la cuenta de PayPal y cualquier información financiera altamente confidencial que pase a través del sistema eShop, al igual que los ataques de MageCart.
Los investigadores de RIPS informaron de manera responsable sus hallazgos a OXID eShops, y la empresa reconoció el problema y lo abordó con el lanzamiento de OXID eShop v6.0.5 y 6.1.4 para las tres ediciones.
Parece que la empresa no parchó la segunda vulnerabilidad, sino que simplemente la mitigó al abordar el primer problema. Sin embargo, en el futuro, si se descubre algún problema de adquisición de administración, se reactivarán los ataques RCE.
