Les attaquants installent des e-skimmers grâce à une vulnérabilité vieille de trois ans, avertit le FBI

Magecart Abuses a Three-Year-Old Vulnerability

Contrairement à d'autres entrées dans le glossaire de la cybersécurité des termes techniques, le mot «e-skimmer» est assez simple à expliquer. Tout comme un skimmer de carte physique gratte les détails d'une carte bancaire dans un guichet automatique, un skimmer électronique vole les données financières des acheteurs sur les pages de paiement des sites de commerce électronique. Curieusement, cependant, les professionnels de la cybersécurité utilisent rarement le mot «e-skimmer» de nos jours. La plupart de ces attaques sont maintenant décrites avec le terme `` Magecart '', et c'est parce que, depuis quelques années, la plupart des e-skimmers ont été installés sur des boutiques en ligne construites avec Magento, une plate-forme open source pour les sites Web de commerce électronique.

Au début, le terme "Magecart" était associé à un seul groupe de pirates qui injectait plusieurs lignes de code JavaScript volant des cartes dans les pages de paiement des magasins en ligne, mais plus tard, le malware est devenu si populaire auprès de tant d'acteurs de menaces différents, que il est lentement devenu un nom collectif pour toutes les attaques de ce type. Un certain nombre de sites Web de haut niveau ont été victimes d'attaques Magecart, et en octobre de l'année dernière, nul autre que le FBI n'a averti les administrateurs de la boutique en ligne des risques associés à Magecart.

Comme on pouvait s'y attendre, tout le monde n'a pas écouté et Magecart n'a pas disparu du jour au lendemain. Au contraire, les sites Web de commerce électronique continuent de souffrir d'infections Magecart, et les spécialistes de la cybersécurité, ainsi que les organismes d'application de la loi, continuent de tenter de les prévenir. Récemment, le FBI a émis un autre avertissement, cette fois décrivant un vecteur d'attaque particulier utilisé par les acteurs de Magecart.

Les pirates utilisent un plugin Magento vulnérable pour lancer des attaques Magecart

Afin d'injecter du code malveillant dans un site Web, les pirates informatiques doivent compromettre la sécurité de la cible d'une manière ou d'une autre, et le FBI a apparemment remarqué une tendance dans leurs actions. Selon ZDNet, les propriétaires de boutiques en ligne qui utilisent un ancien plugin Magento appelé Magento Mass Import (ou MAGMI) sont invités à prendre les mesures nécessaires et à améliorer la sécurité de leur site Web.

En avril 2017, des experts en sécurité ont découvert une vulnérabilité de script intersite dans MAGMI 0.7.22, qui permet aux pirates d'accéder aux fichiers et d'injecter du code malveillant dans le site Web ciblé. La vulnérabilité est suivie comme CVE-2017-7391, et elle est apparemment toujours présente sur de nombreux sites Web. Selon l'alerte du FBI, plusieurs attaques récentes ont été facilitées par CVE-2017-7391. Une fois que les pirates informatiques ont injecté leur code, le logiciel malveillant gratte les informations financières des acheteurs sans méfiance, Base64 les code dans un fichier JPG et les envoie aux cybercriminels.

CVE-2017-7391 a été corrigé il y a quelque temps, et la mise à jour de MAGMI vers la version 0.7.23 arrêtera ce vecteur d'infection particulier. Dans leur alerte, le gouvernement fédéral a également inclus des indicateurs de compromis, que les administrateurs peuvent utiliser pour améliorer la sécurité de leurs sites Web. Malheureusement, cela pourrait ne pas être suffisant pour sécuriser correctement une boutique en ligne basée sur Magento.

Les magasins en ligne utilisent toujours Magento 1

Le problème est plus grave que vous ne le pensez, et pour comprendre pourquoi c'est le cas, nous avons besoin d'une petite leçon d'histoire. Magento a été initialement développé par une société appelée Varien, et il a été lancé pour la première fois en mars 2008. Après plusieurs retards, Magento 2.0, la dernière version majeure, a vu le jour sept ans plus tard, en novembre 2015.

CVE-2017-7391, la vulnérabilité vieille de trois ans qui a déclenché l'alerte du FBI, se trouve dans MAGMI, un plugin qui ne fonctionne qu'avec Magento 1. En d'autres termes, si un site Web utilise MAGMI, il est construit sur une assez vieille plate-forme . De plus, le 30 juin 2020, toutes les versions de Magento 1.x arriveront en fin de vie et cesseront de recevoir des mises à jour de sécurité.

En d'autres termes, après avoir mis à jour leur plugin MAGMI, les administrateurs qui pourraient être affectés par cette attaque devraient également penser à migrer leurs boutiques vers des plateformes plus modernes et plus sécurisées.

May 19, 2020
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.