Posté le septembre 16, 2020 à 10:25
2 000 BOUTIQUES EN LIGNE MAGENTO ONT ÉTÉ VICTIMES DE L’UNE DES PLUS GRANDES CAMPAGNES DE PIRATAGE
Dans ce qui semble être la plus grande campagne de piratage depuis 2015, près de 2 000 boutiques Magento ont été piratés ce week-end.
Les hackers ont utilisé un procédé de piratage typique de Magecart, dans lequel ils ont compromis des sites et installé des scripts malveillants dans le code source des boutiques. Ils ont utilisé les codes sources pour enregistrer les détails des cartes de paiement des clients qui remplissaient les formulaires de paiement.
Le fondateur de Sanguine Security, Willem de Groot, qui suit les attaques de Magecart, a révélé comment le nombre de ces attaques a augmenté depuis que les 10 premières boutiques ont été compromises vendredi.
« Vendredi, 10 boutiques ont été infectées, puis 1 058 le samedi, 603 le dimanche et 233 aujourd’hui », a-t-il déclaré.
Il a ajouté que cette attaque est la plus importante que l’équipe de surveillance ait jamais vue depuis qu’elle a commencé à surveiller ce type d’attaques en 2015. Le précédent record avait été enregistré en juillet de l’année dernière, lorsque 962 boutiques avaient été piratées en une seule journée.
De nombreuses boutiques utilisaient la version EOL
M. Groot a rappelé que la version 1.x de Magento était disponible sur la plateforme de leur boutique en ligne.
La version de Magento ne reçoit plus de mises à jour de sécurité car elle était obsolète il y a trois mois. Mais de nombreux sites utilisent toujours le logiciel Magento, qui est obsolète et vulnérable en raison de l’absence de mises à jour.
Ironiquement, de telles attaques contre le logiciel Magento 1.x sont attendues depuis l’année dernière. Adobe, qui a conçu le logiciel Magento, a averti les utilisateurs du logiciel l’année dernière en demandant aux propriétaires des boutiques de se mettre à jour vers la nouvelle version dès que possible. Mais il semble que de nombreux utilisateurs de l’ancienne version n’ont pas suivi le conseil, car la plupart des boutiques en ligne compromises utilisaient encore l’ancienne version du logiciel Magento.
Outre les premiers avertissements d’Adobe concernant une possible attaque des boutiques Magento 1.x, d’autres conseillers en sécurité ont également fait écho aux avertissements d’Adobe. Visa et Mastercard ont également émis des avis de sécurité similaires sur la probabilité d’attaques sur l’ancienne version de Magento 1.x.
De plus, plusieurs experts en sécurité web ont signalé que la vulnérabilité de Magento 1.x n’a pas été vue depuis un certain temps, ce qui n’est pas normal, car elle est dépassée et comporte quelques failles de sécurité.
A l’époque, les experts en sécurité pensaient que les hackers retardaient délibérément leur attaque pour se lancer à l’assaut lorsque la date d’expiration de l’ancienne version serait atteinte. Ils seront alors sûrs qu’Adobe ne prend plus en charge les mises à jour de la version. Avec les attaques qui arrivent à ce moment, il semble que les experts en sécurité avaient raison.
Bien que M. Groot ne sache pas encore comment les hackers ont pu infiltrer les boutiques en ligne visées à partir de vendredi, il a révélé que des publicités ont été publiées sur les forums darknet pour la vulnérabilité zero-day de Magento 1. X. Cela confirme que les hackers ont retardé leurs attaques jusqu’à ce qu’Adobe n’offre plus de support pour cette version.
Un utilisateur portant le nom d’utilisateur z3r0day a publié l’annonce, en affirmant qu’il avait un exploit d’exécution de code à distance (RCE) en vente à 5 000 dollars.
Les avertissements d’Adobe ont permis d’éviter un désastre plus important
Adobe a commencé à avertir les utilisateurs de Magento 1.x sur l’importance de migrer vers une version plus récente depuis novembre de l’année dernière. Depuis lors, le nombre d’utilisateurs de Magento 1.x a été massivement réduit, passant de 240 000 à 95 000 lorsque l’avertissement était lancé.
Le nombre de boutiques touchées auraient pu être plus important
Bien que l’on s’attendait à un nombre de migrations plus élevé, c’est quand même une bonne nouvelle que plus de 60% des anciens utilisateurs de logiciels aient pu migrer, ce qui signifie qu’ils n’ont pas été touchés par le récent piratage.
Et il existe une autre théorie selon laquelle la majorité des boutiques qui n’ont pas encore migré ont soit un faible trafic d’utilisateurs, soit ont été abandonnées par leurs propriétaires. Mais il y a encore quelques sites à fort trafic qui utilisent encore la version 1×2 de Magento et qui dépendent du pare-feu des applications web pour éviter les attaques.
Cette stratégie est certes conforme aux règles PCI, mais elle est risquée, ce qui peut entraîner des problèmes de vulnérabilité à l’avenir.
Dans le même ordre d’idées, Adobe a annoncé un partenariat avec la société de sécurité SanSec pour l’intégration de la base de données de Sansec au backend de Magento.