• Perspective
Publié le 25 février 2022

Vulnérabilités sur Magento, patchez vos serveurs au plus vite !

Adobe a mis en place dimanche des correctifs pour contenir une vulnérabilité de sécurité critique affectant ses produits Commerce et Magento Open Source, qui, selon la société, est activement exploitée dans la nature.

Repérée sous le nom de CVE-2022-24086, la faille a un score CVSS de 9,8 sur 10 dans le système de notation des vulnérabilités et a été caractérisée comme un problème de « validation incorrecte des entrées » qui pourrait être exploité pour obtenir une exécution de code arbitraire.

Il s’agit également d’une faille ne nécessitant pas d’informations d’identification. En outre, la société californienne a souligné que la vulnérabilité peut être exploitée par un attaquant ne disposant pas de privilèges administratifs.

La faille affecte Adobe Commerce et Magento Open Source. L'autre vulnérabilité relative à Magento Open Source a été répertoriée CVE-2022-24087, mais aucune preuve d’exploitation dans la nature ni de preuve de concept publique n’ont été répertoriées.

Tableau récapitulatif des versions affectées. Adobe Commerce 2.3.3 et les versions précédentes ne le sont pas.

Les sites de commerce électronique font partie des cibles privilégiées sur Internet aujourd’hui, car une fois qu’ils sont compromis, ils peuvent être infectés par des logiciels malveillants qui volent les données des cartes de paiement des acheteurs.

Selon un nouveau rapport publié ce mois-ci par RiskIQ de Microsoft, 165 serveurs de commande et de contrôle uniques utilisés par des acteurs connus de la menace Magecart ont été détectés en janvier 2022, dont certains comprennent des domaines légitimes compromis.

Ces types d’attaques, connues sous le nom de « web skimmers » ou encore d’attaques Magecart, ont lieu depuis 2016, et elles ne semblent pas vouloir s’arrêter de sitôt.

La semaine dernière encore, la société de sécurité de commerce électronique Sansec a fait état d’une campagne qui a infecté plus de 350

Tweet de la société Sansec

La société s’est penchée plus en profondeur sur la correction du bug sur Magento. Les points suivants doivent être pris en considération :

  • Si vous utilisez Magento 2.3 ou 2.4, installez le correctif personnalisé d’Adobe dès que possible.
  • Si vous utilisez une version de Magento 2 comprise entre 2.3.3 et 2.3.7, vous devriez pouvoir appliquer manuellement le correctif, car il ne concerne que quelques lignes.

Sansec a noté lundi que le bug a été découvert le 27 janvier, et que « cette vulnérabilité a une gravité similaire à celle de la vulnérabilité Magento Shoplift de 2015. À l’époque, presque toutes les boutiques Magento non patchées dans le monde ont été compromises dans les jours qui ont suivi la publication de l’exploit. ».

Des chercheurs ont détaillé la procédure de mise à jour :

Tweet détaillant la procédure de mise à jour

La mise à jour est importante pour les commerçants en ligne : le groupe Magecart est réputé pour cibler les versions non corrigées de Magento en particulier, en cherchant un moyen d’installer des dispositifs d’extraction de cartes de crédit sur les pages de paiement des sites de commerce électronique.

Une preuve de concept publique a fait son apparition sur GitHub. L’exploitation est triviale et ne nécessite qu’une requête Web. On ne le dira jamais assez, mettez à jour vos applications !

Article rédigé par
La Minute Cyber