De nouvelles failles critiques sur Magento laissent des millions de site e-commerce vulnérables

Traduit de l’anglais par MS

Article original ici

Si vous utilisez Magento pour votre site e-commerce, il est grand temps de mettre à jour votre CMS.

Des millions d’entreprises vendant en ligne risquent des attaques de piratage à cause d’une vulnérabilité de type XSS dans la plus populaire des plateformes e-commerce détenue par eBay.

 

Pourquoi ces bugs sont si sérieux ?

Virtuellement, toutes  les versions de Magento Community Edition 1.9.2.2 ainsi que les précédentes, de même que les versions Enterprise Edition 1.14.2.2 et antérieures, sont vulnérable à des failles XSS.

Ces failles XSS sont terribles car elles permettent au attaquants de :

  • de prendre effectivement le contrôle d’un site fait avec Magento
  • augmenter les privilèges
  • voler des données des cartes de crédit
  • contrôler le site internet via un compte administrateur

Toutefois, la bonne nouvelle est que ces vulnérabilités sont déjà patchées et que la mise à jour a été rendue publique après que la firme de sécurité Sucuri l’ait découverte et reportée en grand secret à la société.

Une faille facile à exploiter

La vulnérabilité XSS est assez aisée à exploiter. Tout ce que les attaquants ont besoin d’ajouter est un code Javascript malicieux dans le champs du formulaire d’enregistrement du client.

Magento lit et exécute cet e-mail contenant le codage frauduleux dans le compte administrateur, permettant alors à l’attaquant de voler la session administrateur et de prendre le contrôle le serveur utilisant Magento.

La société de sécurité Sucuri décrivant le bug comme une des pires failles.

 

Faite la mise à jour dès aujourd’hui !

A titre de prévention de l’exploitation de cette failles, les webmasters sont priés d’appliquer le dernier patch bundle dès que possible.

Bien que le dernier patch résolvait la question pour Magento de la version 1.14.1 et 1.9.1 et précédentes, les problèmes impliquant les versions 1.14.2.3 et 1.9.2.3 ont été déjà réparés.

Avec Alexa, plus d’un million de sites e-commerce et plus de 10 million de sites internet utilisant le célèbre CMS, Magento est devenu une cible privilégiée des hackers actuellement.

Patchez vos sites et restez en sécurité !

Des milliers de sites suisses vulnérables

Internet a grandi très rapidement durant ces 15 dernières années. Des milliers de nouveaux sites web sont mis en ligne chaque jour.

Selon Netcraft, il y aurait actuellement plus de 850’000’000 sites web actifs sur Internet (Mai 2015). Une des raisons expliquant cet accroissement soudain est l’utilisation de CMS (Content management system), comme par exemple WordPress, Typo3, Joomla et Drupal.

En utilisant un CMS, vous pouvez publier aisément du contenu sur internet sans aucune connaissance IT. De plus, vous avez un vaste choix de plugin disponibles afin de personnaliser à l’envi votre site web. C’est grâce à cette facilité d’usage que les CMS sont utilisés aussi bien par les PME, que par les web-masters amateurs désirant également un site internet, pour leur club de sport, par exemple.

Bien que ces CMS soient de très bons outils, ils sont devenus les cibles privilégiées des hackers. En avril 2015, GovCert.ch a twitté à propos d’une vulnérabilité dans WordPress. En effet, une personne malveillante pouvait exécuter une attaque de type XSS (Cross-Site Scripting), contre tous sites web utilisant cette version de WordPress vulnérable, en postant simplement un commentaire contenant du Java-Script malicieux (CVE-2015-3440). Durant cette même journée où cette vulnérabilité a été rendue publique, WordPress publiait la mise à jour de sécurité WP 4.2.1 pour réparer cette faille.

Malheureusement, cette réparation n’a pas tenu long. Le 6 mai 2015, une autre vulnérabilité (CVE-2015-3429) a été rendue publique. Cette dernière, de type XSS également, concerne à nouveau les sites WordPress. Selon Sucuri, la vulnérabilité a déjà été exploitée avant que WordPress ait été capable de publier son update de sécurité. Cette même faille existe également avec le plugin Jetpack dont plus d’un million d’installations actives. Cette vulnérabilité a été révélée le 6 mai 2015. WordPress a réagi en publiant un patch de sécurité le 7 mai 2015. Actuellement, un mois plus tard, des milliers de sites internet ne sont toujours pas mis à et jour et ce ce fait, sont toujours vulnérables.

Selon nic.ch, le nombre de noms de domaine enregistrés en Suisse (.ch) s’élève à 1’939’115 à la fin mars 2015. 124’000 d’entre eux sont des sites WordPress. En vérifiant la version WP de ces sites web, on s’aperçoit que plus de 70% de tous les sites .ch ont une version antérieur de WP et sont de ce fait, très vulnérables aux attaques décrites ci-dessus.

 

vulnerable_wordpress_sites_ch Nombre sites .ch vulnérables VS non-vulnérables utilisant WP

Après avoir enlevé la vulnérabilité CVE (CVE-2015-3440 – Stored XSS vulnerability sous WP, CVE-2015-3429 – XSS vulnerability sous WP et JetPack), la situation se présente ainsi :

 

cve_wp_ch Nombre de failles CVE sur les sites .ch utilisant WordPress

Ces statistiques sont basées sur la version de WordPress utilisée. D’autres investigations seront nécessaires pour déterminer si ces sites internet sont vulnérables ou non (où si ils sont, par exemple, protégés par un firewall applicatif web qui pourrait bloquer ce type d’attaques).

Cependant, le danger est bien réel, puisqu’ils utilisent une version ancienne de WordPress, connue pour être vulnérable à ces attaques.

Si l’on se réfère aux rapports GovCERT.ch reçu des partenaires de la Confédérations, on peut dire que plus de 5’000 sites internet sont confirmés vulnérables à la faille CVE-2015-3440. C’est environ 5 fois plus que le nombre d’installations vulnérables utilisant Magento en Suisse, annoncé par la Confédération en avril 2015. Aujourd’hui, GovCert.ch a commencé le processus de notification en contactant les principaux hébergeurs de ces sites, les informant des risques potentiels liés à l’utilisation d’une version de WordPress obsolète et vulnérable.

Malheureusement, nous croyons que ceci ne serait que la pointe de l’iceberg. Comme mentionné plus haut dans cet article, il y a de nombreux autres CMS que WordPress où il semblerait que là non plus, la situation de soit pas enviable également.

Mais la question que l’on se pose est : pourquoi y-a-t’il tellement de sites internet utilisant une version ancienne d’un CMS ? Une explication pourrait être que les CMS soient victimes de leur propre succès car ils permettent facilement à quiconque de publier son site sur internet, même les personnes n’ayant que très peu de connaissances en IT. Ces personnes ne savent pas qu’elles doivent protéger leur CMS comme elles devraient également le faire avec leur ordinateur. Comme une voiture a besoin de services réguliers, vous devriez vérifier si le CMS que vous utilisez est à jour et protégé.

Aussi, si vous utilisez un système CMS comme WordPress, Typo3, Joomla ou Drupal, nous vous recommandons vivement de vérifier si leur version est la plus récente. Plus de conseils et mesures de sécurité pour votre CMS peuvent également se trouver sur le site web de MELANI

Mesures de prévention pour les systèmes de gestion de contenu
http://www.melani.admin.ch/dienstleistungen/00132/01556/index.html?lang=fr

Article traduit par Avansis.

Retrouvez l’article dans la version originale ici : http://www.govcert.admin.ch/blog/8/outdate-wordpress-thousands-of-websites-in-switzerland-are-vulnerable