De nouvelles failles critiques sur Magento laissent des millions de site e-commerce vulnérables

Traduit de l’anglais par MS

Article original ici

Si vous utilisez Magento pour votre site e-commerce, il est grand temps de mettre à jour votre CMS.

Des millions d’entreprises vendant en ligne risquent des attaques de piratage à cause d’une vulnérabilité de type XSS dans la plus populaire des plateformes e-commerce détenue par eBay.

 

Pourquoi ces bugs sont si sérieux ?

Virtuellement, toutes  les versions de Magento Community Edition 1.9.2.2 ainsi que les précédentes, de même que les versions Enterprise Edition 1.14.2.2 et antérieures, sont vulnérable à des failles XSS.

Ces failles XSS sont terribles car elles permettent au attaquants de :

  • de prendre effectivement le contrôle d’un site fait avec Magento
  • augmenter les privilèges
  • voler des données des cartes de crédit
  • contrôler le site internet via un compte administrateur

Toutefois, la bonne nouvelle est que ces vulnérabilités sont déjà patchées et que la mise à jour a été rendue publique après que la firme de sécurité Sucuri l’ait découverte et reportée en grand secret à la société.

Une faille facile à exploiter

La vulnérabilité XSS est assez aisée à exploiter. Tout ce que les attaquants ont besoin d’ajouter est un code Javascript malicieux dans le champs du formulaire d’enregistrement du client.

Magento lit et exécute cet e-mail contenant le codage frauduleux dans le compte administrateur, permettant alors à l’attaquant de voler la session administrateur et de prendre le contrôle le serveur utilisant Magento.

La société de sécurité Sucuri décrivant le bug comme une des pires failles.

 

Faite la mise à jour dès aujourd’hui !

A titre de prévention de l’exploitation de cette failles, les webmasters sont priés d’appliquer le dernier patch bundle dès que possible.

Bien que le dernier patch résolvait la question pour Magento de la version 1.14.1 et 1.9.1 et précédentes, les problèmes impliquant les versions 1.14.2.3 et 1.9.2.3 ont été déjà réparés.

Avec Alexa, plus d’un million de sites e-commerce et plus de 10 million de sites internet utilisant le célèbre CMS, Magento est devenu une cible privilégiée des hackers actuellement.

Patchez vos sites et restez en sécurité !

Magento : des sites non patchés infectés par le kit d’exploits Neutrino

Une nouvelle vague d’infection par exploit kits cible actuellement la plateforme Magento appartenant à eBay. Apparemment, il ne s’agit pas d’une nouvelle vulnérabilité mais d’une faille connue, Shoplift Bug, qui permet aux pirates d’installer un exploit kit comme Angler, Nuclear ou Neutrino.

Une fois inséré dans le site via à une iframe, le kit d’exploits va tâcher de répérer des vulnérabilités connues, notamment dans le plugin Flash Player d’Adobe, dans le navigateur ou dans le système d’exploitation, afin d’infecter l’ordinateur de la victime. Les machines compromises servent à récupérer des données bancaires et prennent part à un large réseau d’ordinateurs zombies (botnet).

Pour vous prémunir contre une telle attaque, il est important d’appliquer les mises-à-jour immédiatement. Un patch visant à combler cette faille est disponible sur le site de magento: http://magento.com/security/patches/supee-5344-%E2%80%93-shoplift-bug-patch. Un outil est également mis à disposition pour tester l’existence de la vulnérabilité.

Liens

http://magento.com/security-patch
http://www.computerworld.com/article/2995598/security/magenta-compromised-sites-havent-patched-older-flaws.html#tk.rss_security
http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=26543
http://www.avgthreatlabs.com/ww-en/virus-and-malware-information/info/neutrino-exploit-kit/