Le plugin Magmi des sites Magento est vulnérable

Les chercheurs ont révélé deux failles dans le plugin Magento Mass Import (Magmi) qui pourraient permettre des attaques d’exécution de code à distance. Ce plugin est un client de base de données open source qui importe des données dans Magento.

Magmi est un client de base de données Magento écrit en PHP et utilisé pour effectuer des opérations en masse sur les sites de boutique en ligne. Un correctif n’a été publié que pour l’une des deux failles (CVE-2020-5777), dans la version 0.7.24. Au moment de la divulgation, cependant, il n’y avait toujours pas de correctif disponible pour la seconde faille (CVE-2020-5776), ont déclaré les chercheurs.

Les chercheurs ne peuvent pas dire avec certitude combien de sites Magento sont vulnérables. Cependant, ils ont pu identifier au moins 1500 sites Web indexés via les moteurs de recherche utilisant le plugin Magmi (et il y’en a probablement beaucoup plus).

Pour réduire les risques entre-temps, il est recommandé de désactiver ou de désinstaller complètement le plugin jusqu’à ce qu’un correctif soit disponible, ainsi que de s’abstenir de naviguer sur le Web pendant que vous êtes authentifié auprès de Magmi.

Les chercheurs ont également publié un code d’exploitation de preuve de concept (PoC) sur GitHub pour les deux failles.

Les failles de Magmi

La faille non corrigée, CVE-2020-5776, est une vulnérabilité de falsification de requête intersite (CSRF) affectant Magmi jusqu’à la version 0.7.24. Bien que cette faille ait un score CVSSv2 de 6,8 sur 10 (soit une gravité moyenne), la base de données de vulnérabilités VulDB l’a classée comme critique.

La faille, qui affecte une fonctionnalité inconnue d’un fichier spécifique (/index.php/newsletter/subscriber/new/), existe parce que les points de terminaison GET et POST n’implémentent pas la protection CSRF, ce qui signifie qu’un pirate pourrait exploiter la vulnérabilité de la faille pour effectuer une attaque CSRF. CSRF se produit lorsqu’un site Web malveillant envoie une requête à une application Web sur laquelle une victime est déjà authentifiée. De cette manière, un attaquant peut accéder à la fonctionnalité dans une application Web cible via le navigateur déjà authentifié de la victime.

Dans cette attaque spécifique, les pirates informatiques pourraient tromper un administrateur Magento en cliquant sur un lien alors qu’ils sont authentifiés sur Magmi. Le hacker pourrait alors détourner les sessions de l’administrateur, lui permettant d’exécuter du code arbitraire sur le serveur sur lequel le plugin est hébergé, ont déclaré les chercheurs.

magmi

La deuxième faille, maintenant corrigée, CVE-2020-5777, est une faille de contournement d’authentification dans les versions 0.7.23 et inférieures de Magmi pour Magento. Cette faille a également un score CVSSv2 de 6,8 sur 10, ce qui lui donne une gravité moyenne, ont déclaré les chercheurs.

Le processus d’authentification de Magmi utilise l’authentification HTTP Basic et vérifie le nom d’utilisateur et le mot de passe par rapport à la table admin_user de la base de données Magento. Cependant, si la connexion à la base de données Magento échoue, Magmi acceptera les informations d’identification par défaut, qui sont magmi:magmi.

«En conséquence, un attaquant pourrait forcer la connexion à la base de données à échouer en raison d’une attaque par déni de service de base de données (DB-DoS), puis s’authentifier auprès de Magmi en utilisant les informations d’identification par défaut», ont déclaré les chercheurs. «L’impact de cette attaque est l’exécution de code à distance sur le serveur où Magmi est hébergé.»

Les chercheurs ont réussi une attaque DB-DoS sur Magento lorsque le nombre maximum de connexions MySQL simultanées était supérieur au nombre maximum de connexions HTTP Apache simultanées.

“En envoyant un grand nombre de requêtes de connexion simultanées qui dépassent la limite de connexions MySQL, mais pas la limite maximale de connexion HTTP Apache, les pirates pourraient bloquer temporairement l’accès à la base de données Magento et simultanément faire une requête authentifiée à Magmi en utilisant les informations d’identification par défaut”, ont déclaré les chercheurs.

Divulgation des failles

Les chercheurs ont déclaré avoir contacté le développeur du plugin Magmi le 3 juin. Après des communications les 17 juin et 6 juillet, ils ont reçu le 6 juillet un accusé de réception indiquant que les problèmes identifiés étaient en cours de résolution.

«Depuis, nous avons envoyé des demandes de mises à jour et n’en avons reçu aucune. Cependant, les développeurs ont publié une nouvelle version du plugin le 30 août pour corriger l’une des deux vulnérabilités (CVE-2020-5777) », ont-ils déclaré.

“Cette version corrige un problème de sécurité en raison d’un exploit potentiel sur l’authentification par défaut de Magmi”, selon la description de Magmi pour sa dernière version, 7.24.

magento

Ce n’est pas la première fois que la plate-forme de commerce électronique open-source Magento rencontre des problèmes de sécurité dus à des plugins tiers (ainsi que des failles dans Magento lui-même). Une alerte de sécurité du FBI qui a été rendue publique en Mai 2020 concernait l’exploitation sauvage de CVE-2017-7391, une vulnérabilité XSS dans Magmi qui a été utilisée pour cibler des sites Magento vulnérables. En 2018, des pirates informatiques ont utilisé quelques adresses IP pour rechercher des versions vulnérables de Magmi.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x