A la veille des soldes, voici une bien mauvaise nouvelle pour les e-commerçants dont la boutique est propulsée par Prestashop 1.6 ou 1.7. Une faille de sécurité CVE-2017-9841 de l’outil PHPUnit a avoir été exploitée par un malware, le XsamXadoo Bot.
Dès le 7 janvier l’éditeur Prestashop alerte via un communiqué officiel sur le danger encouru et découvert le 2 janvier : XsamXadoo Bot peut avoir accès à votre boutique et en prendre le contrôle…
Comment savoir si mon site est infecté par Xsam-Xadoo
Un moyen simple, et à la portée de tout à chacun : il vous suffit de tester l’url de votre site en y ajoutant “Xsam_Xadoo.html” ou “Xsam_Xadoo.htm” : www.maboutique.fr/Xsam_Xadoo.html ou www.maboutique.fr/Xsam_Xadoo.htm
Si le résultat affiche le message suivant, alors c’est que votre boutique Prestashop est infestée par le malware XsamXadoo Bot … Nul besoin de vous préciser qu’il n’est pas recommandé de prendre contact avec l’adresse email affichée sur cette page !
Quels sont les risques encourus avec le malware XsamXadoo Bot ?
Si votre boutique en ligne a été touchée, alors les hackers ont accès à votre site aux données des comptes (administrateur et clients…)
Que fait Prestashop ?
L’éditeur Prestashop a informé toutes les agences partenaires et ambassadeurs afin qu’elles puissent sécuriser au plus vites les boutiques dont elles assurent la maintenance. Ce que nous avons bien évidemment fait pour nos clients qui nous ont confié leur boutique Prestashop 🙂
Les modules Prestashop mis en cause par le malware :
- 1-Click Upgrade (autoupgrade): versions 4.0 beta and later
- Cart Abandonment Pro (pscartabandonmentpro): versions 2.0.1~2.0.2
- Faceted Search (ps_facetedsearch): versions 2.2.1~3.0.0
- Merchant Expertise (gamification): versions 2.1.0 and later
- PrestaShop Checkout (ps_checkout): versions 1.0.8~1.0.9
ont été mis à jour et sont aujourd’hui sécurisés :
- 1-Click upgrade: v4.10.1
- Cart Abandonment Pro: v2.0.10
- Faceted Search: v3.4.1
- Merchant Expertise: v2.3.2
- PrestaShop Checkout: v1.2.9
Les équipes Prestashop réalisent maintenant un contrôle des autres modules disponibles sur la plateforme Prestashop Addons pour s’assurer qu’ils ne contiennent pas le dossier Phpunit vulnérable.
Plus d’informations techniques sur XsamXadooBot sur le site de l’éditeur Prestashop
Comment se protéger de cette faille de sécurité Prestashop et de XsamXadoo Bot ?
La première chose à faire est de se connecter via FTP et d’explorer les dossiers “<racine prestashop>/modules/<nom du module>/vendor” et “<racine prestashop>/vendor” pour y rechercher un sous-dossier “phpunit”. Si vous en trouvez un, alors vous êtes exposé et vulnérable à une attaque. Prestashop recommande de supprimer tous les dossiers “phpunit” que vous pourrez découvrir sans que cela affecte le fonctionnement des modules ; Php Unit est une librairie de développement qui n’est pas nécessaire au fonctionnement normal de votre site.
La bonne nouvelle est que si vous ne trouvez aucun dossier “phpunit” alors votre boutique n’est pas vulnérable au malware XsamXadoo Bot !
En revanche si vous en avez trouvé, le fait de les avoir supprimés vous met à l’abri de la vulnérabilité, mais n’écarte pas le danger car votre site a peut être déjà été infesté.
Que faire si mon site est infesté par le malware XsamXadoo Bot ?
Il convient alors de réaliser des contrôles poussés et de rechercher parmi les fichiers du coeur de Prestashop des fichiers qui pourraient avoir été modifiés (voir la section “liste de fichiers modifiés” sur la page “Paramètres Avancés / Informations”) ; Regarder aussi soigneusement si le hacker peut avoir laissé des fichiers suspicieux sur votre serveur, ou parmi les fichiers de votre boutique.
Une fois le problème réglé, il est fortement recommandé de demander à tous les utilisateurs (y compris les clients) de modifier le mot de passe associé à leur compte.
Attention, la suppression de fichiers sur le serveur peut s’avérer risquée et compromettre le fonctionnement de votre boutique. Nous vous recommandons de faire appel à un professionnel pour réaliser cette intervention en toute sécurité. Contactez-nous, nous pouvons vous aider.