Posté le mars 30, 2019 à 18:33
LES HACKERS PUBLIENT DES FAILLES DANS MAGENTO, LA SOCIÉTÉ CORRIGE IMMÉDIATEMENT
Les hackers ont publié un certain nombre de failles de sécurité critiques avec la plateforme de commerce électronique Magento, mais la société réagit rapidement pour éviter toute incident.
Magento compte 300 000 marchands utilisant sa plateforme de commerce électronique et qui sont tous exposés à un nouveau bug. Magento a publié un correctif de sécurité et recommande vivement à toute personne utilisant la mise à niveau de leur plateforme dès que possible.
La faille Injection SQL, potentiellement dévastateur
Le bug, appelé PRODSECBUG-2198, est une faille Injection SQL qui permet à des hackers d’exploiter un système sans nécessiter d’authentification. Théoriquement, cette faille permettrait à tout hacker de prendre le contrôle administratif des comptes administratifs. Cependant, ils auraient d’abord besoin d’obtenir des noms d’utilisateur et de hacher les mots de passe. Une fois à l’intérieur, ils installeraient probablement des portes dérobées ou des logiciels d’écrémage de cartes, comme il était d’usage dans les attaques sur ces plateformes.
Ce bug potentiellement dévastateur a été testé par un chercheur en sécurité chez Sucuri. Sucuri est une entreprise de sécurité qui aide les entreprises dans tous les aspects de la sécurité en ligne. Le chercheur a utilisé cette méthode pour inverser un patch officiel récent. Il s’en est ensuite servi pour créer un exploit de preuve de concept qui marche.
Plusieurs failles dans le dernier correctif
Comme le bug PRODSECBUG-2198 est primodial, un correctif a été mis à disposition par Magento. La société achetée par Adobe en 2018 a également publié un correctif général qui inclut des correctifs pour 37 autres bugs. Parmi ces 37 personnes, quatre ont reçu un score égal ou supérieur à 9 dans le Système de notation commun de la faille (CVSS). Selon CVSS, cela signifie qu’ils sont critiques et que le correctif qui les contient doit être installé sans délai.
Bien sûr, l’Injection SQL sans bug d’authentification est toujours la priorité absolue. En fait, Sucuri, la firme de sécurité qui a testé l’exploit SQL, a déclaré dans un blog que tout le monde devrait effectuer une mise à niveau immédiatement s’il utilise Magento. Ils ont ajouté que ceux qui ne le feraient pas se retrouveraient bientôt à la merci des pirates qui auraient un contrôle presque total sur leurs systèmes. Ils ont même décrit le bug comme un «moyen facile» pour un site Web basé sur Magento de tomber sous le contrôle d’un hacker.
Magento, un fameux cible des hackers
Ce n’est pas la première fois que les hackers se concentrent sur Magento. Le système de la société est extrêmement populaire, avec plus de 300 000 marchands qui en dépendent pour gérer le commerce électronique de leurs entreprises. Auparavant, Magento a été ciblé à plusieurs reprises et, au cours de la dernière année, l’écrémage des cartes est devenu un problème grandissant. Des groupes de hackers malhonnêtes insufflent aux ordinateurs un logiciel qui enregistre les informations sur les cartes de crédit des utilisateurs.
Le plus gros problème avec la faille Injection SQL , en particulier ceux qui ne nécessitent pas d’authentification, en est une de taille. L’exploit peut être automatisé, permettant aux attaquants de rassembler un grand nombre de noms d’utilisateurs et mots de passe. Cela donnerait à l’hacker un accès, qui aurait pu être utilisé avec d’autres exploits et failles pour obtenir des privilèges. Les exploits qui fonctionnaient en conjonction avec le PRODSECBUG-2198 ont également été corrigés, ce qui signifie que de nombreuses voies d’entrée ont été bloquées.
La firme de recherche en sécurité recommande les utilisateurs à utiliser les versions Magento Commerce et Magento Open Source les plus récentes. Ce sont respectivement 2.3.1, 2.2.8 et 2.1.17. La version dépend de la branche que vous utilisez. Toutefois, faute d’une installation complète, Sucuri recommande d’arrêter le problème à sa source en installant manuellement le correctif pour l’exploit d’injection SQL.
Ils ont ajouté que les administrateurs de site Web devraient prêter attention à leurs journaux d’accès pour les accès au chemin catalog/product/frontend_action_synchronize. Bien que le trafic occasionnel sur ce chemin soit correct, cela peut être un signe d’une attaque. Un grand nombre de demandes émanant d’une même adresse IP pourrait provenir de quelqu’un qui essaie d’utiliser PRODSECBUG-2198.