BlogE-commerce websiteeCommerce Softwareecommerce website templateshacking newshacking web serverOXID eShopOXID eShop platformSQL injection attacksql injection toolwebsite security

Las fallas críticas en el software ‘OXID eShop’ exponen los sitios de comercio electrónico a la piratería

Si su sitio web de comercio electrónico se ejecuta en el Plataforma de eShop de OXID, debe actualizarlo de inmediato para evitar que su sitio se vea comprometido.

Los investigadores de ciberseguridad han descubierto un par de vulnerabilidades críticas en el software de comercio electrónico OXID eShop que podrían permitir a los atacantes no autenticados tomar el control total de los sitios web de comercio electrónico vulnerables de forma remota en menos de unos segundos.

OXID eShop es una de las soluciones de software para tiendas de comercio electrónico líderes en Alemania, cuya edición empresarial está siendo utilizada por líderes de la industria, incluidos Mercedes, BitBurger y Edeka.

Los investigadores de seguridad de RIPS Technologies GmbH compartieron sus últimos hallazgos con The Hacker News, que detalla dos vulnerabilidades de seguridad críticas que afectan las versiones recientes de las ediciones Enterprise, Professional y Community del software OXID eShop.

Cabe señalar que no se necesita absolutamente ninguna interacción entre el atacante y la víctima para ejecutar ambas vulnerabilidades, y las fallas actúan contra la configuración predeterminada del software de comercio electrónico.

OXID eShop: Defecto de inyección SQL

La primera vulnerabilidad, asignada como CVE-2019-13026, es una vulnerabilidad de inyección SQL que permite a un atacante no autenticado simplemente crear una nueva cuenta de administrador, con una contraseña de su elección, en un sitio web que ejecuta cualquier versión vulnerable del software OXID eShop. “Una inyección SQL no autenticada puede explotarse al visualizar los detalles de un producto. Dado que la base de datos subyacente utiliza el controlador de la base de datos PDO, las consultas apiladas se pueden utilizar para INSERTAR datos en la base de datos. En nuestro exploit abusamos de esto para INSERTAR un nuevo usuario administrador “, dijeron los investigadores a The Hacker News.

Aquí hay un video de prueba de concepto que los investigadores compartieron con The Hacker News, que demuestran este ataque:

Aunque el sistema de base de datos PDO ha sido diseñado para prevenir ataques de inyección de SQL utilizando declaraciones preparadas, el uso de comandos SQL de compilación dinámica podría dejar las consultas apiladas con un mayor riesgo de contaminarse.

OXID eShop: Defecto de ejecución remota de código

La segunda vulnerabilidad es un problema de inyección de objetos PHP, que reside en el panel de administración del software OXID eShop y ocurre cuando la entrada proporcionada por el usuario no se desinfecta correctamente antes de pasar a la función PHP unserialize ().

Esta vulnerabilidad se puede aprovechar para obtener la ejecución remota de código en el servidor; sin embargo, requiere acceso administrativo que se puede obtener utilizando la primera vulnerabilidad. “Luego se puede encadenar una segunda vulnerabilidad para obtener la ejecución remota de código en el servidor. Tenemos un exploit Python2.7 completamente funcional que puede comprometer las tiendas electrónicas OXID directamente, lo que requiere solo la URL como argumento”, dijeron los investigadores a The Hacker News.

Aquí está la demostración en video que muestra el ataque RCE en acción:

Una vez que tienen éxito, los atacantes pueden ejecutar de forma remota código malicioso en el servidor subyacente o instalar su propio complemento malicioso para robar las tarjetas de crédito de los usuarios, la información de la cuenta de PayPal y cualquier información financiera altamente confidencial que pase por el sistema eShop, al igual que los ataques MageCart.

Los investigadores de RIPS informaron responsablemente sus hallazgos a las tiendas electrónicas de OXID, y la compañía reconoció el problema y dirigido con el lanzamiento de OXID eShop v6.0.5 y 6.1.4 para las tres ediciones.

Parece que la empresa no corrigió la segunda vulnerabilidad, sino que simplemente la mitigó abordando el primer problema. Sin embargo, en el futuro, si se descubre algún problema de toma de control por parte de un administrador, se reactivarán los ataques RCE.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar