Posté le juin 13, 2019 à 10:34
LE NOMBRE DE PIRATAGE DES BOUTIQUES EN LIGNE MAGENTO 2.X A DOUBLÉ POUR LE TROISIÈME MOIS CONSÉCUTIF
La nouvelle vague d’attaques de piratage semble se concentrer fortement sur les plateformes Magento 2.x, le nombre de cyberattaques contre eux ayant plus que doublé tous les mois. Jusqu’ici, les chercheurs ont déterminé que deux groupes de hacker sont responsables des attaques.
A l’origine, la montée en nombre de cyberattaques a commencé en mars, pour doubler en avril. Puis, ce nombre d’attaques a encore augmenté d’avril à mai. La situation en juin ne semble pas non plus s’améliorer et il reste à voir si l’on peut ou non faire quelque chose contre les attentats.
Selon les chercheurs, l’augmentation du nombre de piratages informatiques est due à la découverte d’une faille de sécurité dans le système de gestion de contenu de Magento 2.x. La faille, connue sous le nom de PRODSECBUG-2198, a incité de nombreuses personnes à en abuser pour nuire aux sites ecommerce.
Cette vulnérabilité particulière est une faille d’injection SQL dans le CMS utilisé par Magento. En tant que tel, il peut être exploité à distance, à distance, et il permet aux attaquants non authentifiés d’accéder à des sites Web vulnérables, voire de réaliser une prise de contrôle totale.
La faille a été découverte il y a quelque temps et l’équipe de Magento l’a corrigée en mars de cette année. Cependant, il ne semble pas que cela ait beaucoup changé les choses, car une nouvelle vague d’attaques a commencé seulement 16 heures environ après la sortie du patch.
La situation s’est rapidement aggravée après que la société qui a découvert le bug — Ambionics — ait publié un code de preuve de concept. Le code n’a été publié qu’environ deux jours après la publication du correctif, et les propriétaires de boutiques en ligne n’ont pas eu assez de temps pour mettre en œuvre le correctif.
Comme l’a mentionné un commentaire de Twitter, l’outil d’exploitation du bogue est sorti un vendredi, à peine deux jours après que le correctif a été appliqué, et les exploitations de sites non encore corrigés se sont accélérées. Le nombre de sites Magento piratés a doublé chaque mois depuis, et des hackers les ont même contaminés par des logiciels malveillants qui ont volé les données des cartes de crédit des clients qui ont continué à acheter les produits des sites.
Selon le fondateur de Sanguine Security, Willem de Groot, il effectuait des analyses quotidiennes sur les millions de sites Web les plus fréquentés afin de détecter d’éventuelles activités inhabituelles et suspectes. Cela lui avait permis de découvrir le logiciel malveillant et de vérifier son existence et son utilisation. Malgré le fait que de nombreux groupes de hackers exploitent ces failles, Groot affirme que la majorité des atteintes à la sécurité ont été commises par deux groupes spécifiques.
Les deux groupes sont responsables de 90% des attaques, l’un d’entre eux représentant 70% des violations et l’autre les 20% restants. De plus, il a également découvert que le groupe responsable de 70% des infractions était le même que celui responsable de l’attaque de Puma Australia. Ce groupe est également impliqué dans le clonage de plus de 50 services de paiement mondiaux.
De Groot avertit également qu’il est extrêmement difficile de se débarrasser des cloneurs, surtout après qu’ils aient réussi à s’y frayer un chemin. Selon ses estimations, environ 20% de sites Web commerçants invétérés seraient réinfectés dans un délai de deux semaines.
Pour aider à lutter contre le nombre croissant d’attaques, De Groot a publié des astuces sur la façon de gérer les sites piratés. Il a également aidé à appliquer les boutiques Magento aux nouvelles versions, contenant le correctif de cette vulnérabilité. Il a également publié des conseils sur les méthodes de protection supplémentaires que les boutiques Magento pourraient souhaiter utiliser afin de réduire le nombre de piratages à l’avenir.
Jusqu’à présent, les attaques ont continué à se multiplier et on ne sait toujours pas qui sont derrière elles. Aucun des deux groupes de piratage n’a encore été identifié et il est possible que des hackers gardent leur identité anonyme même après la fin des incidents.
Cela illustre une fois de plus pourquoi il est crucial pour les particuliers et les entreprises de mettre en œuvre les mises à jour de leurs logiciels dès qu’ils sont publiés. De nouvelles vulnérabilités sont découvertes tout le temps, et le fait de ne pas appliquer le correctif — surtout lorsqu’on est absent depuis des mois — ne peut qu’entraîner de nouveaux dommages et de nouveaux incidents.
