Exploitation critique de Magento : installation de portes dérobées dans les boutiques en ligne

Une vulnérabilité critique, identifiée sous la référence CVE-2024-20720, a été exploitée par des acteurs malveillants pour installer des portes dérobées persistantes dans des boutiques en ligne utilisant Magento.

La vulnérabilité CVE-2024-20720, avec un score CVSS de 9,1, concerne une injection de commande système (« OS Command Injection ») permettant l’exécution de code arbitraire sur des versions spécifiques d’Adobe Commerce. Les versions touchées incluent 2.4.6-p3, 2.4.5-p5, et 2.4.4-p6 entre autres. Ce type de faille est particulièrement dangereux car elle peut être exploitée sans interaction de l’utilisateur.

ACTUS ZATAZ VIA WHATSAPP >CLIQUEZ ICI<

Méthode d’attaque

Les chercheurs ont observé que les attaquants utilisaient un modèle de mise en page conçu pour injecter du code XML de manière automatique dans la table layout_update de la base de données Magento. Ce code permet non seulement l’installation d’une porte dérobée mais aussi la réinfection périodique du système, rendant l’attaque particulièrement résiliente.

Impact de l’attaque

L’exploitation de cette vulnérabilité a permis aux attaquants de déployer un faux écumeur de paiement Stripe, capturant ainsi les données des cartes de crédit des utilisateurs. Les données volées étaient ensuite transmises à un serveur contrôlé par les attaquants, probablement un autre magasin Magento compromis, via l’URL hxxps://halfpriceboxesusa[.]com/pub/health_check.php. Adobe a réagi rapidement en proposant des mises à jour de sécurité lors de son Patch Tuesday de février 2024 pour corriger cette faille. Les versions sécurisées proposées incluent 2.4.6-p4, 2.4.5-p6, et 2.4.4-p7. [Sansec]

Les sites de commerce en ligne, dans la ligne de mire

Parmi les derniers cas en date marquant, la fuite de plus de 600 000 clients de l’entreprise française « Le slip français« . Une faille qui a permis à un pirate informatique prénommé « Le gars Shopify », du nom de l’application web de commerce en ligne, connu pour agir du côté de l’Inde, à mettre en vente 39 bases de données comprenant les identité de clients passés et présents, adresses électroniques, coordonnées GPS, adresses postales, Etc. Pas de données bancaires. Un pirate inconnu, sorti du darkweb au mois de mars !

Une fuite étonnante, le pirate semble être passé par la boutique Shopify [le-slip-francais-prod.myshopify.com] et a pu exfiltrer des dizaines de .JSON comme a pu le constater le Service Veille ZATAZ. A noter que les partenaire du SVZ ont été alertés dès la découverte de cette diffusion malveillante, le 13 avril. Alertée, l’entreprise n’a jamais répondu à ZATAZ. Le pirate, un vicieux, a diffusé trois liens de stockage différents comprenant les données copiées. Nous avons pu en faire fermé un. Malheureusement, les deux autres continuent de diffuser les informations de centaines de milliers de personnes.

PAR MAIL, LE SAMEDI > CLIQUEZ ICI < LES ACTUS ZATAZ

Dans la même ambiance malheureuse, des pirates se sont attaqués à la plateforme d’achat en ligne PandaBuy, divulguant les données personnelles de plus de 1,3 million de clients. Cette cyberattaque a été menée par deux individus, Sanggiero et IntelBroker [Le FBI et le DoJ sont à ses trousses pour la diffusion de données du gouvernement américains, NDR], qui ont exploité plusieurs vulnérabilités critiques de l’API et de la plateforme PandaBuy. Les données exposées incluent des informations sensibles telles que les noms, prénoms, numéros de téléphone, adresses email, adresses IP de connexion, données de commandes, adresses résidentielles, codes postaux et pays des utilisateurs. Le Service veille ZATAZ confirme, malheureusement, la présence de nombreux européens [RGPD].

PandaBuy n’a pas officiellement reconnu la faille de sécurité, et des allégations ont émergé sur une possible tentative de l’entreprise de masquer l’incident. Cependant, un représentant de PandaBuy sur Discord a affirmé que l’incident signalé avait eu lieu dans le passé et que selon leur équipe de sécurité, aucune violation de données n’avait eu lieu en 2024.

Un petit dernier pour la route ? Et plus précisément, le ciel ! Le 18 avril 2024, le prestataire de services tiers de la compagnie aérienne Air Arabia a informés l’entreprise d’une cyberattaque ayant entraîné une fuite de données personnelles appartenant à certains des membres du programme de fidélité. « Nous pensons que cet incident a pu impacter certaines de vos données personnelles, à l’exception de toute information financière, de paiement par carte, de données de santé ou de mots de passe de comptes. » souligne Air Arabia.

Les catégories de données affectées incluent l’adresse e-mail, le nom, le numéro de téléphone, la date de naissance, la nationalité, le pays et, pour un nombre limité de clients, le numéro de passeport et les détails de voyages antérieurs.

« À titre de mesure de précaution et pour votre propre sécurité, nous vous conseillons de vérifier vos mots de passe et de les changer si nécessaire. » Bin voyons, et pour les données personnelles, les clients doivent faire quoi ? Espérer qu’aucuns djinns malveillants ne leur vole dans les plumes ?

Mise à jour : les 3 adresses web de téléchargement ont été fermées. Sauf que… le pirate en a ouvert une quatrième adresse qui sera trés compliquée à faire fermée. Elle est gérée par l’administrateur du forum pirate !