Magento, une entreprise détenue par Adobe depuis 2018, a livré des correctifs pour plusieurs vulnérabilités sérieuses affectant le système de gestion de contenu éponyme utilisé par des milliers de boutiques en ligne. Une faille d'injection SQL non authentifiée représente notamment une cible de choix pour les pirates. 37 problèmes de sécurité affectant les versions commerciale et open source de la plate-forme ont été identifiés. Des pirates peuvent exploiter ces failles pour exécuter du code à distance, mener des attaques par injection SQL, des attaques par exploitation de faille cross-site scripting (XSS), par escalade de privilèges, et divulguer des informations et faire du spamming.
Quatre vulnérabilités dépassent l'échelle 9 du Common Vulnerability Scoring System (CVSS), ce qui les situe dans la catégorie des failles critiques. Dans ce groupe, les chercheurs ont identifié une faille d'injection SQL particulièrement préoccupante, car elle peut être exploitée sans authentification. « La vulnérabilité SQL est très facile à exploiter, et nous recommandons vivement à tous les propriétaires de sites Magento d’effectuer la mise à jour avec ces versions récemment corrigées pour protéger leurs sites de e-commerce », ont déclaré les chercheurs de l’entreprise de sécurité Web Sucuri dans un article de blog. Les chercheurs ont déjà procédé à l'ingénierie inverse du correctif et ont créé un exploit preuve de concept fonctionnel pour des tests internes. La vulnérabilité n’a pas encore été rendue publique, mais il est très probable que les attaquants découvriront bientôt par eux-mêmes comment l’exploiter.
Magento, une cible de choix pour les pirates
En raison de sa popularité et des données clients sensibles qu'elle traite, la plate-forme Magento est très attractive pour les pirates. Par le passé, la plateforme a fait plusieurs fois l’objet d'attaques généralisées. Globalement, au cours de l'année écoulée, le nombre d'attaques contre les boutiques en ligne a augmenté, certains groupes de pirates se spécialisant dans l'écrémage ou skimming de sites web, une technique d’injection de scripts malveillants sur les ordinateurs pour récupérer les codes des cartes de crédit.
Les vulnérabilités d'injection SQL permettent d'injecter des données dans des bases de données ou de lire des informations à partir de celles-ci. Même si cette faille particulière ne peut pas être utilisée pour infecter directement un site Web, elle peut donner aux attaquants l'accès aux comptes sur un site. Cet accès peut ensuite être utilisé pour exploiter l'une des autres failles d'escalade de privilèges ou d'exécution de code à distance corrigées par la mise à jour et qui nécessitent une authentification. « Les attaques non authentifiées, comme celle observée dans cette vulnérabilité particulière d'injection SQL, sont très graves, car elles peuvent être automatisées, de sorte que les pirates peuvent facilement mener et réussir des attaques généralisées contre les sites Web vulnérables », préviennent les chercheurs de Sucuri. « Le nombre d'installations actives, la facilité d'exploitation et les conséquences d'une attaque réussie rendent cette vulnérabilité particulièrement dangereuse ».
Mettre à jour Magento sans délai
Les utilisateurs de Magento Commerce et de Magento Open Source sont invités à mettre à jour vers les nouvelles versions 2.3.1, 2.2.8 et 2.1.17, selon l’édition utilisée. Pour protéger rapidement leurs sites sans déployer la mise à jour complète, les utilisateurs ont également la possibilité d’appliquer manuellement le correctif pour le défaut d'injection SQL (PRODSECBUG-2198). Cependant, l’application rapide de la mise à jour complète est fortement recommandée. Selon Sucuri, les administrateurs du site devraient aussi surveiller leurs logs d'accès pour repérer les occurrences dans le chemin /catalog/product/frontend_action_synchronize. Si les requêtes occasionnelles peuvent être légitimes, un grand nombre de requêtes émanant de la même adresse IP dans un court laps de temps doit éveiller les soupçons car elle peut révéler une tentative d'exploitation de la vulnérabilité.
Commentaire