Les correctifs pour une plate-forme de commerce électronique doivent être appliqués immédiatement. Pas de si, peut-être, mais, plus tard. Les chercheurs disent que toute personne utilisant la plate-forme Magento devrait mettre à niveau dès que possible et à la lumière de la menace, dès que possible signifie dès maintenant.

La plateforme de commerce électronique Magento a publié des correctifs pour 37 vulnérabilités, Menace dit vendredi. Magento a publié quatre correctifs critiques, quatre correctifs de gravité élevée et 26 bogues de gravité moyenne et trois bogues de gravité faible dans le résumé des correctifs.

Les versions de Magento impactées étaient la 2.1 antérieures à la 2.1.17, Magento 2.2 avant 2.2.8 et Magento 2.3 avant 2.3.1.

Lucien Constantin dans OSC énuméré les types d'activités que les attaquants pourraient effectuer s'ils exploitaient les failles :exécution de code à distance, injection SQL, script inter-sites, escalade de privilèges, divulgation d'informations et spam.

Celles-ci comprenaient des failles qui auraient pu permettre aux attaquants de s'emparer d'un site et de créer de nouveaux comptes d'administrateur.

Constantin a dit Magento, utilisé par des milliers de boutiques en ligne, avait des problèmes de sécurité affectant à la fois les versions commerciales et open source de sa plate-forme.

Le dernier développement est que la plate-forme Magento pourrait bientôt faire face à des attaques après que des pirates ont publié du code qui exploite une vulnérabilité dans ses systèmes, mentionné TechRadar , qui pourrait être utilisé pour implanter des skimmers de cartes de paiement sur des sites qui n'ont pas encore été mis à jour.

Les tentatives d'exploitation des sites de commerce électronique sont incessantes et cela s'est avéré être une histoire courante. PRODSECBUG-2198 est le nom de la vulnérabilité d'injection SQL que les attaquants peuvent exploiter sans avoir besoin d'authentification, si les attaquants tentent un exploit.

KoDDoS a écrit sur l'injection SQL sans avoir besoin d'un bogue d'authentification et a noté que la société de sécurité Sucuri "a déclaré dans un article de blog que tout le monde devrait mettre à niveau immédiatement s'il utilise Magento".

Le site de Magento a présenté le Magento 2.3.1, mise à jour 2.2.8 et 2.1.17, disant "Une vulnérabilité d'injection SQL a été identifiée dans le code Magento antérieur à la version 2.3.1. Pour protéger rapidement votre boutique contre cette vulnérabilité uniquement, installer le correctif PRODSECBUG-2198. Cependant, pour se protéger contre cette vulnérabilité et d'autres, vous devez passer à Magento Commerce ou Open Source 2.3.1 ou 2.2.8. Nous vous suggérons fortement d'installer ces correctifs complets dès que possible."

À quel point est-il urgent ? Dan Goodin dans Ars Technica a déclaré que la nouvelle tournure des événements rendait cet appel à patch très urgent.

"Un code d'attaque a été publié vendredi qui exploite une vulnérabilité critique dans la plate-forme de commerce électronique Magento, tout sauf en garantissant qu'il sera utilisé pour implanter des écumeurs de cartes de paiement sur des sites qui n'ont pas encore installé de correctif récemment publié."

Magento est considéré comme une plate-forme de commerce électronique populaire. Quelle est la popularité? Jérémy Kirk, BankInfoSécurité, a noté ses chiffres déclarés - 155 milliards de dollars de commerce en 2018 et plus de 300, 000 entreprises et commerçants utilisant le logiciel.

Parmi les défauts identifiés, le plus discuté sur les sites de veille technologique a été la vulnérabilité d'injection SQL.

Sucuri Security a parlé du problème d'injection SQL dans Magento Core et a averti que le bogue était critique (CVSS 8.8) et facile à exploiter à distance, mentionné Menace .

(Le cadre du Common Vulnerability Scoring System évalue la gravité des vulnérabilités, et 10 indique le plus sévère.)

Marc-Alexandre Montpas, Chercheur en sécurité Sucuri, mentionné, « nous encourageons vivement les utilisateurs de Magento à mettre à jour leurs sites vers la dernière version de la branche qu'ils utilisent ; soit 2.3.1, 2.2.8, ou 2.1.17."

Pour ceux qui ne connaissent pas l'injection SQL, OSC l'année dernière a dit qu'il en existe plusieurs types, "mais ils impliquent tous un attaquant insérant du code SQL arbitraire dans une requête de base de données d'application Web." C'est un type d'attaque qui peut donner à un adversaire le contrôle de la base de données de votre application Web en insérant du code SQL arbitraire dans une requête de base de données."

Constantin a offert une vue d'ensemble où Magento n'est qu'un exemple de problème dans le domaine des achats en ligne :le nombre d'attaques contre les boutiques en ligne en général a augmenté au cours de la dernière année, il a dit, et certains des groupes sont des spécialistes de l'écrémage du Web.

TechRadar :"Des gangs concurrents de cybercriminels ont passé les six derniers mois à essayer d'infecter des sites de commerce électronique avec des logiciels malveillants d'écrémage de carte pour voler les informations de paiement des utilisateurs." TechRadar a également souligné que plus de 300, 000 entreprises et commerçants ont utilisé les services de la plateforme.

Qu'est-ce que l'écrémage Web ? Les coupables injectent des "scripts malveillants sur les ordinateurs pour capturer les détails de la carte de crédit, " comme OSC Mets-le.

L'année dernière, Adobe avait annoncé un accord pour acquérir la plateforme Magento Commerce. Le communiqué de presse décrivait la plate-forme comme « construite sur des bases éprouvées, une technologie évolutive soutenue par une communauté dynamique de plus de 300 personnes, 000 développeurs." L'écosystème de partenaires, dit le communiqué, "fournit des milliers d'extensions prédéfinies, y compris le paiement, expédition, fiscalité et logistique."

Jérôme Segura, analyste principal du renseignement sur les logiciels malveillants chez Malwarebytes, Raconté Ars Technica jeudi. "Quand il s'agit de sites Web Magento piratés, Les écumeurs Web sont le type d'infection le plus courant que nous observons en raison de leur retour sur investissement élevé."

Les groupes se spécialisent dans l'introduction de logiciels malveillants d'écrémage de carte de paiement dans des sites, a déclaré Jeremy Kirk dans BanqueInfoSécurité .

© 2019 Réseau Science X