Des hackers exploitent une faille dans le plugin Magento pour pirater les données des cartes bancaires et s’emparer des magasins en ligne. De nombreux magasins en ligne ont été touchés par cette ancienne vulnérabilité
Selon le FBI, les cyber-pirates s’emparent des magasins en ligne et volent les données des cartes de paiement des clients en exploitant une vulnérabilité vieille de trois ans dans un plugin Magento.
Ce type d’attaque est connu sous le nom de « web skimming » ou Magecart et en octobre de l’année dernière, le FBI a émis un avertissement similaire concernant une augmentation de ce type d’attaques.
Comme l’a rapporté ZDNet, les attaquants exploitent une vulnérabilité, suivie comme CVE-2019-7391, dans le plugin MAGMI (Magento Mass Import) pour les magasins en ligne basés à Magento dans cette dernière campagne. La vulnérabilité est un bogue de type XSS (cross-site scripting) qui permet à un attaquant de planifier un code malveillant à l’intérieur du code HTML d’un magasin en ligne.
Selon le FBI, les pirates informatiques exploitent cette vulnérabilité afin de voler les identifiants d’environnement des boutiques en ligne exploitant Magento, qu’ils utilisent ensuite pour prendre le contrôle total des sites ciblés.
Faille du plugin MAGMI
Lorsqu’un attaquant accède à un site utilisant le plugin vulnérable, il installe des shells web pour un accès futur et commence à modifier les fichiers PHP et JavaScript du site avec un code malveillant qui enregistre les détails de paiement des clients. Ces données de carte de paiement sont ensuite encodées au format Base64, cachées dans un fichier JPEG et envoyées au serveur du pirate.
Le serveur malveillant utilisé par les pirates derrière cette dernière campagne est utilisé par le service de cybercriminalité Inter qui loue des infrastructures à des groupes de pirates peu qualifiés afin qu’ils puissent lancer des opérations d’écrémage de sites web.
La mise à jour du plugin MAGMI à la version 0.7.23 est fortement recommandée pour les magasins en ligne utilisant le plugin car cela corrige le bogue XSS que les pirates utilisent pour entrer dans les magasins en premier lieu. Malheureusement, le plugin ne fonctionne que pour les anciennes versions des magasins Magento utilisant la branche 1.x qui devrait arriver en fin de vie en juin prochain.
L’alerte flash du FBI contient également des indicateurs de compromission (IOC) que les utilisateurs de Magento peuvent déployer à l’intérieur de leur pare-feu d’application web afin de prévenir les attaques contre leurs orteils.
Comment cette attaque s’est produite
Le FBI a émis une alerte pour les entreprises du secteur privé basées aux États-Unis concernant cette menace. Selon l’alerte, les acteurs de la menace en question exploitaient une vulnérabilité CV-2017-7391 trouvée dans un plugin Magento nommé MAGMI ou Magento Mass Import pour prendre le contrôle d’un site de vente en ligne et implanter des codes d’écrémage afin de voler les données financières de ses clients.
Il est intéressant de noter que les données volées ont été envoyées au serveur de l’attaquant en ajoutant les données à l’intérieur de fichiers images JPEG pour rester sous le radar. ZDNet rapporte que l’adresse IP du serveur appartient à un fournisseur de services de cybercriminalité nommé Inter. Le rapport affirme qu’Inter offre des infrastructures liées à la cybercriminalité à des groupes de pirates amateurs ou à des skiddies pour exécuter des opérations d’écrémage électronique même sans en avoir la connaissance suffisante. Le serveur est opérationnel depuis mai 2019.
Le FBI a également publié une liste de recommandations à l’intention des propriétaires de magasins de commerce électronique Magento en même temps que l’alerte. Le FBI a suggéré de mettre à jour le plugin MAGMI avec la dernière version 0.7.23 et Magento avec la version 2.x pour recevoir des mises à jour régulières.
Les victimes précédentes de Magecart
Depuis le début de l’année dernière, les attaques de type « Magecart » ou « e-skimming » sont devenues courantes. Lors de la fête de Thanksgiving en 2019, les sites web du fabricant d’armes à feu et d’articles de sport de plein air (American Outdoor Brands) ont été pris d’assaut par une opération de piratage de Magecart. Le piratage a compromis les informations de carte de paiement d’environ 780 personnes. Des attaques similaires d’écrémage électronique avaient également compromis de grandes entreprises telles que Macy’s, Puma et Ticketmaster.
Alors que l’attaque Magecart sur Macy’s a été exécutée en octobre 2019, le fabricant de vêtements de sport Puma et Ticketmaster en avril 2019 et juin 2018.
A lire également=> Les abus technologiques: Comment vos appareils numériques à domicile peuvent être retournés contre vous ?