Posté le juillet 27, 2022 à 6:06
DES HACKERS DÉCOUVERTS EN TRAIN D’EXPLOITER LA FAILLE ZERO-DAY DE PRESTASHOP POUR VOLER DES DONNÉES DE PAIEMENT
Des chercheurs ont révélé que les acteurs de menaces ciblent désormais les sites Web utilisant la plateforme PrestaShop en tirant parti de la chaîne de vulnérabilités Zero-day. Selon le rapport, ils procèdent à l’exécution de code pour potentiellement voler les informations de paiement des clients.
Vendredi dernier, l’équipe de PrestaShop a émis un avertissement et a exhorté les administrateurs des 300 000 boutiques qui utilisent son logiciel à mettre à jour leurs systèmes de sécurité. La société a averti les administrateurs qu’elle avait découvert des cyberattaques visant la plateforme.
L’attaque semble avoir un impact sur les versions 1.7.8.2 ou ultérieures de PrestaShop et les versions 1.6.0.10 ou ultérieures lorsqu’elles exploitent des modules vulnérables à l’injection SQL. La vulnérabilité a été identifiée sous le nom de CVE-2022-36408.
Les hackers ciblent les boutiques au moyen de logiciels obsolètes
Selon la société, les attaquants procèdent à une exécution de code arbitraire dans les serveurs qui exécutent les sites PrestaShop.
L’attaque commence par l’exploitation d’un module ou de son ancienne version avec des failles d’exploitation d’injection SQL. Cependant, l’équipe PrestaShop n’a pas encore découvert l’origine de la vulnérabilité au moment de l’alerte. L’équipe a ajouté qu’il est probable que la faille soit causée par un composant tiers.
L’équipe de sécurité de Prestashop a déclaré que les acteurs de la menace ciblent les boutiques utilisant des modules ou des logiciels obsolètes, des vulnérabilités zero-day et des modules tiers vulnérables.
Les acteurs de la menace envoient une requête POST à un point de terminaison défectueux avant une requête GET sans paramètre pour mener l’attaque. Ils envoient la requête vers la page d’accueil, qui capture un fichier « blm.php » dans le répertoire racine.
De plus, le fichier blm.php semble être un shell web qui donne aux hackers la possibilité d’exécuter des commandes sur le serveur à distance.
Les activités des hackers ont été observées. Selon le rapport, ils utilisent le shell web pour installer de faux formulaires de paiement sur la page de paiement de la boutique, ce qui leur permet de voler les détails des cartes de paiement des clients.
Les administrateurs sont invités à sécuriser leurs systèmes
Les acteurs de la menace ont également appris à rester sous le radar tout en infectant le système ciblé et en volant des informations. Le rapport révèle qu’après l’attaque, les hackers ont effacé leurs traces pour s’assurer que les propriétaires de sites ne se rendent pas compte que leurs plateformes ont été compromises.
Cela a permis aux acteurs de la menace de continuer à infecter d’autres systèmes. S’ils n’ont pas pris soin d’effacer les preuves, les administrateurs des sites infectés peuvent découvrir des entrées dans les journaux d’accès du serveur Web et découvrir qu’ils ont été compromis.
Les administrateurs du site peuvent découvrir que le site Web a été compromis de différentes manières. L’un des signes est la modification d’un fichier pour y insérer un code malveillant. On peut également constater une modification du stockage du cache MySQL Smarty, qui peut servir de support à une attaque.
En général, la fonctionnalité est désactivée par défaut. Cependant, l’équipe PrestaShop a vu des preuves que les acteurs de la menace l’ont activée séparément. Par conséquent, ils ont recommandé aux administrateurs de sites de supprimer la fonction si elle n’est pas nécessaire.
De plus, il a été conseillé aux utilisateurs de passer à la dernière version disponible du logiciel et d’appliquer la mise à jour de sécurité. PrestaShop a déclaré que la mise à jour de sécurité a déjà été publiée.
La mise à jour de sécurité améliore le stockage du cache MySQL Smarty et le rend résistant aux attaques par injection de code, en particulier pour ceux qui veulent continuer à utiliser l’ancienne fonctionnalité.
Mais l’équipe de PrestaShop a indiqué que la mise à jour de sécurité ne fonctionnera pas dans certaines situations, notamment celles où le site Web a déjà été infecté.
Les acteurs de la menace lancent d’autres attaques de type Magecart
PrestaShop est la principale solution d’e-commerce open-source en Amérique latine et en Europe. L’objectif principal des attaquants est de planter un code malveillant qui peut voler les informations de paiement des clients sur les pages de paiement. On ne sait pas exactement combien de sites Web ont été infectés. Mais PrestaShop a déclaré qu’elle enquêtait sur la situation et qu’elle fournirait bientôt plus de détails sur la situation.
Cette découverte intervient à un moment où les plates-formes de commande de restaurants font l’objet d’un large éventail d’attaques Magecart. Des plateformes telles que InTouchPOS, Habortouch et MenuDrive ont été touchées ces derniers temps, ce qui a conduit à la compromission de plus de 300 restaurants.
Les plateformes de commande de restaurants ont été la cible de deux campagnes d’écrémage Magecart. Les trois violations ont entraîné le vol de plus de 50 000 données relatives aux cartes de paiement des restaurants compromis, les données ayant été publiées sur le dark web.
