Une faille de sécurité critique au sein de Magento, référencée CVE-2024-20720, a été exploitée par des acteurs malveillants pour installer des portes dérobées (Backdoor) persistantes dans les boutiques en ligne utilisant cette plateforme.
Le principe de la mise en œuvre d’une « Backdoor » ou porte dérobée correspond à prévoir un accès tenu secret vis-à-vis de l’utilisateur légitime aux données contenues dans un logiciel ou sur un matériel.
La vulnérabilité, qui a reçu un score CVSS de 9,1, concerne une injection de commande système (« OS Command Injection ») permettant l’exécution de code arbitraire sur des versions spécifiques d’Adobe Commerce, notamment les versions 2.4.6-p3, 2.4.5-p5 et 2.4.4-p6, entre autres. Ce type de faille est particulièrement dangereux car il peut être exploité sans interaction de l’utilisateur.
Les attaquants ont été observés utilisant un modèle de mise en page spécialement conçu pour injecter du code XML de manière automatique dans la table de mise en page de la base de données Magento. Ce code permet non seulement l’installation d’une porte dérobée, mais également la réinfection périodique du système, rendant l’attaque particulièrement résiliente.
Cette exploitation de la vulnérabilité a permis aux attaquants de déployer un faux écumeur de paiement Stripe, capturant ainsi les données des cartes de crédit des utilisateurs. Les données volées étaient ensuite transmises à un serveur contrôlé par les attaquants, probablement un autre magasin Magento compromis.
Adobe a réagi rapidement en proposant des mises à jour de sécurité lors de son Patch Tuesday de février 2024 pour corriger cette faille. Les versions sécurisées proposées incluent 2.4.6-p4, 2.4.5-p6 et 2.4.4-p7.
Les propriétaires de boutiques en ligne utilisant Magento sont vivement encouragés à appliquer ces mises à jour dès que possible et à scanner régulièrement leurs sites Web à la recherche de signes d’infection par des logiciels malveillants.
Les sites e-commerce, une cible de pirates
Les sites de commerce en ligne sont devenus une cible de choix pour les pirates informatiques. Un récent incident a mis en lumière la fuite de données de plus de 600 000 clients de l’entreprise française “Le slip français”. Un pirate connu sous le nom de “Le gars Shopify”, opérant depuis l’Inde, a vendu 39 bases de données contenant des informations telles que les identités des clients, leurs adresses électroniques, leurs coordonnées GPS et leurs adresses postales. Bien que les données bancaires n’aient pas été compromises, cette fuite a révélé une faille inquiétante dans la sécurité du site.
Dans un autre cas, la plateforme d’achat en ligne PandaBuy a été victime d’une cyberattaque, exposant les données personnelles de plus de 1,3 million de clients. Les pirates, connus sous les pseudonymes de Sanggiero et IntelBroker, ont exploité plusieurs vulnérabilités critiques pour accéder aux informations sensibles des utilisateurs, y compris leurs noms, prénoms, numéros de téléphone, adresses email et adresses IP.
Malgré ces attaques massives, les entreprises concernées ont tardé à reconnaître les failles de sécurité. PandaBuy n’a pas officiellement admis la vulnérabilité de sa plateforme, suscitant des soupçons quant à une possible dissimulation de l’incident.
De plus, même si Air Arabia a été alertée d’une cyberattaque ayant entraîné une fuite de données des membres de son programme de fidélité, elle a conseillé aux clients de simplement changer leurs mots de passe, laissant leurs autres données personnelles potentiellement exposées.
