Magento, des failles permettent des exécutions de code

Des vulnérabilités dans la plateforme d’e-commerce Magento pourraient permettre des exécutions de code arbitraire. Cette plateforme est la cible préférée du cybergang Magecart et appartient à Adobe.

Adobe a déployé des patchs avec la sortie de la mise à jour vers Magento 2.3.4 et ont donné à ces failles un rang de priorité 2. En langage Adobe, la priorité 2 signifie que que les administrateurs doivent appliquer la mise à jour en moins de 30 jours.

Parmi toutes ces failles, Adobe en a patché 3 qu’ils décrivent comme étant critiques. Cela signifie que des exploits réussis pourraient permettre à du code natif malveillant de s’exécuter à l’insu de la victime.

Deux de ces failles permettent une exécution de code arbitraire: CVE-2020-3716 est une faille de dé-sérialisation de données non-fiables et CVE-2020-3718 est un problème de contournement de sécurité.

Le bug identifié en tant que CVE-2020-3719 permet de lancer une attaque d’injection SQL si il est exploité correctement. Les attaques d’injection SQL se produisent quand un site n’assainit pas les données fournit par l’utilisateur, cela peut mener à une lecture et une écriture arbitraire des données utilisées à l’intérieur d’une application web. Un hacker peut en tirer avantage en envoyant une requête de recherche malveillante dans le champ de recherche d’un site.

Adobe a aussi patché une poignée de bugs qu’ils notent comme étant important. Ces failles permettraient d’accéder à des données sensibles ou de compromettre les ressources de traitement dans le système de la victime.

Ces derniers bugs incluent CVE-2020-3715 et CVE-2020-3758, des failles cross-site scripting (XSS) qui permettent la divulgation d’informations sensibles. Les bugs XSS sont un type d’injection dans lesquels les scripts malveillants sont injectés dans des sites fiables. Les attaques XSS se produisent quand un hacker utilise une application web pour envoyer du code malveillant, le plus souvent sous la forme d’un script qui s’exécute côté client (navigateur de l’utilisateur final). Si le navigateur ne vérifie pas le script et l’exécute, le script peut accéder aux cookies, aux jetons numériques de sessions ou aux autres informations sensibles stockées par le navigateur.

La faille CVE-2020-3717 est une vulnérabilité path traversal qui peut aussi mener à une divulgation d’informations sensibles.

La connexion Magecart – Magento

Les groupes Magecart seront surement attentifs au déploiement de ces mises à jour de sécurité car ils chercheront à exploiter ces failles avant que les administrateurs n’appliquent les patchs. Magecart est un terme vague qui désigne les différents groupes de pirates informatiques qui utilisent la même méthode. Ils compromettent les sites en exploitant les vulnérabilités des plateformes d’e-commerce de parti-tiers pour injecter des scripts malveillants sur les pages de paiement. Magento est l’une des plateformes les plus ciblées par Magecart.

adverline magecart magento

Par exemple, les bugs d’injection SQL ont plusieurs fois été utilisé par les groupes Magecart par le passé. L’année dernière, une attaque contre Magento 2 (mise en place 16 heures après la divulgation de la faille) a exploité une faille d’injection SQL pour dérober les données de connexion de la console administrative en récupérant le contenu de la table admin_user de la base de données. Ces données de connexion ont ensuite été utilisées pour se connecter au tableau de bord de Magento et ajouter le malware Magecart sur le site ciblé.

Les failles cross-site scripting sont un autre vecteur d’attaque commun contre les sites internet. Magecart a utilisé un formulaire d’attaques XSS lors de la brèche de Newegg.

“Magecart est un simple morceau de code qui injecté dans les sites pour dérober les informations de carte bleues à l’insu des autres partis concernés,” a expliqué James McQuiggan, défenseur de la sensibilisation à la sécurité chez KnowBe4. “Il est important pour les organisations qui utilisent les sites d’e-commerce avec des connexions ou des plugins de parti-tiers de vérifier qu’ils sont à jour. Les organisations doivent limiter l’accès des parti-tiers à leurs données sensibles comme les cartes de crédit, noms et adresses. Avoir une politique de sécurité robuste concernant les parti-tiers pour limiter les accès externes aux informations sensibles et seulement permettre au code et au script vérifier de s’exécuter peut réduire fortement les risques d’attaque.”

Les versions affectés par ces derniers bugs sont les versions 2.2.10 et antérieures de Magento Commerce, 2.3.3 et antérieures de Magento Open Source, 1.14.4.3 et antérieures de Magento Enterprise Edition et 1.9.4.3 et antérieures de Magento Community Edition. les utilisateurs doivent mettre à jour vers la version 2.3.4 pour addresser les problèmes.