Le FBI met en garde contre les attaques contre les magasins en ligne Magento
Le FBI affirme que les pirates informatiques exploitent une vulnérabilité vieille de trois ans dans un plugin Magento pour prendre le contrôle des magasins en ligne et planter un script malveillant qui enregistre et vole les données de carte de paiement des acheteurs.
Ce type d’attaque est connu sous le nom de skimming Web, e-skimming ou Magecart. Le FBI avait précédemment averti d’une augmentation des attaques en octobre de l’année dernière.
Campagne récente exploitant le bug MAGMI
Dans cette récente campagne, les attaquants exploitent CVE-2017-7391, une vulnérabilité de MAGMI (Magento Mass Import), un plugin pour les magasins en ligne basés sur Magento, a déclaré le FBI dans une alerte de sécurité flash envoyée au secteur privé américain au début du mois.
La vulnérabilité est un bug de cross site scripting (XSS) qui permet à l’attaquant d’injecter du code malveillant dans le code HTML d’une boutique en ligne.
Le FBI affirme que les attaquants exploitent cette vulnérabilité pour voler les informations d’identification de l’environnement de boutiques en ligne Magento, qu’ils utilisent ensuite pour prendre le contrôle total des sites ciblés.
Une fois qu’ils ont accès aux sites, ils injectent des shell Web pour un accès futur et commencent à modifier les fichiers PHP et JavaScript du site avec un code malveillant qui enregistre les détails de paiement saisis sur la boutique lorsque les utilisateurs achètent et paient de nouveaux produits.
Le FBI explique que les données de carte de paiement enregistrées à partir des transactions des utilisateurs sont ensuite encodées au format Base64, cachées à l’intérieur des bits d’un fichier JPEG et envoyées au serveur des pirates, situé à l’adresse ip 89.32.251.136.
Selon une entrée de VirusTotal, ce serveur malveillant est un serveur connu d’Inter [1, 2, 3], un service de cybercriminalité qui loue ses infrastructures pour des groupes de pirates informatiques peu qualifiés afin qu’ils puissent effectuer des opérations de ce type. Les premiers rapports faisant état de l’utilisation de ce serveur dans des attaques de ce type remontent à mai 2019.
Sites laissés sans mises à jour
L’alerte flash du FBI contient des indicateurs de compromission (IOC) que les opérateurs Magento peuvent déployer à l’intérieur de leurs pare-feu d’applications Web (WAF) pour empêcher les attaques contre leurs sites.
La mise à jour vers MAGMI 0.7.23 est également recommandée, car cela corrige le bug XSS qui accorde aux attaquants un accès initial aux magasins.
Cependant, le plug-in MAGMI ne fonctionne que pour les anciennes versions des magasins Magento, la branche 1.x, qui devrait atteindre sa fin de vie le 30 juin 2020.
Idéalement, les propriétaires de magasins devraient mettre à jour l’ensemble de leur logiciel Magento, et pas uniquement le plugin MAGMI, vers la version 2.x, qui continuera à recevoir des mises à jour de sécurité à l’avenir.
Continuer à exécuter les magasins Magento sur des versions anciennes et non maintenues ouvre la voie à des attaques car Adobe ne publiera pas de correctifs pour la branche 1.x à l’avenir
Source : ZDNet.com
