BREAKING NEWS

Exploitation critique de Magento : installation de portes dérobées dans les boutiques en ligne

Posted On 23 Avr 2024
By :
Comment: 0
Tag: , , , , ,

Une vulnérabilité critique, identifiée sous la référence CVE-2024-20720, a été exploitée par des acteurs malveillants pour installer des portes dérobées persistantes dans des boutiques en ligne utilisant Magento.

La vulnérabilité CVE-2024-20720, avec un score CVSS de 9,1, concerne une injection de commande système (« OS Command Injection ») permettant l’exécution de code arbitraire sur des versions spécifiques d’Adobe Commerce. Les versions touchées incluent 2.4.6-p3, 2.4.5-p5, et 2.4.4-p6 entre autres. Ce type de faille est particulièrement dangereux car elle peut être exploitée sans interaction de l’utilisateur.

ACTUS ZATAZ VIA WHATSAPP >CLIQUEZ ICI<

Méthode d’attaque

Les chercheurs ont observé que les attaquants utilisaient un modèle de mise en page conçu pour injecter du code XML de manière automatique dans la table layout_update de la base de données Magento. Ce code permet non seulement l’installation d’une porte dérobée mais aussi la réinfection périodique du système, rendant l’attaque particulièrement résiliente.

Impact de l’attaque

L’exploitation de cette vulnérabilité a permis aux attaquants de déployer un faux écumeur de paiement Stripe, capturant ainsi les données des cartes de crédit des utilisateurs. Les données volées étaient ensuite transmises à un serveur contrôlé par les attaquants, probablement un autre magasin Magento compromis, via l’URL hxxps://halfpriceboxesusa[.]com/pub/health_check.php. Adobe a réagi rapidement en proposant des mises à jour de sécurité lors de son Patch Tuesday de février 2024 pour corriger cette faille. Les versions sécurisées proposées incluent 2.4.6-p4, 2.4.5-p6, et 2.4.4-p7. [Sansec]

Les sites de commerce en ligne, dans la ligne de mire

Parmi les derniers cas en date marquant, la fuite de plus de 600 000 clients de l’entreprise française « Le slip français« . Une faille qui a permis à un pirate informatique prénommé « Le gars Shopify », du nom de l’application web de commerce en ligne, connu pour agir du côté de l’Inde, à mettre en vente 39 bases de données comprenant les identité de clients passés et présents, adresses électroniques, coordonnées GPS, adresses postales, Etc. Pas de données bancaires. Un pirate inconnu, sorti du darkweb au mois de mars !

Une fuite étonnante, le pirate semble être passé par la boutique Shopify [le-slip-francais-prod.myshopify.com] et a pu exfiltrer des dizaines de .JSON comme a pu le constater le Service Veille ZATAZ. A noter que les partenaire du SVZ ont été alertés dès la découverte de cette diffusion malveillante, le 13 avril. Alertée, l’entreprise n’a jamais répondu à ZATAZ. Le pirate, un vicieux, a diffusé trois liens de stockage différents comprenant les données copiées. Nous avons pu en faire fermé un. Malheureusement, les deux autres continuent de diffuser les informations de centaines de milliers de personnes.

PAR MAIL, LE SAMEDI > CLIQUEZ ICI < LES ACTUS ZATAZ

Dans la même ambiance malheureuse, des pirates se sont attaqués à la plateforme d’achat en ligne PandaBuy, divulguant les données personnelles de plus de 1,3 million de clients. Cette cyberattaque a été menée par deux individus, Sanggiero et IntelBroker [Le FBI et le DoJ sont à ses trousses pour la diffusion de données du gouvernement américains, NDR], qui ont exploité plusieurs vulnérabilités critiques de l’API et de la plateforme PandaBuy. Les données exposées incluent des informations sensibles telles que les noms, prénoms, numéros de téléphone, adresses email, adresses IP de connexion, données de commandes, adresses résidentielles, codes postaux et pays des utilisateurs. Le Service veille ZATAZ confirme, malheureusement, la présence de nombreux européens [RGPD].

PandaBuy n’a pas officiellement reconnu la faille de sécurité, et des allégations ont émergé sur une possible tentative de l’entreprise de masquer l’incident. Cependant, un représentant de PandaBuy sur Discord a affirmé que l’incident signalé avait eu lieu dans le passé et que selon leur équipe de sécurité, aucune violation de données n’avait eu lieu en 2024.

Un petit dernier pour la route ? Et plus précisément, le ciel ! Le 18 avril 2024, le prestataire de services tiers de la compagnie aérienne Air Arabia a informés l’entreprise d’une cyberattaque ayant entraîné une fuite de données personnelles appartenant à certains des membres du programme de fidélité. « Nous pensons que cet incident a pu impacter certaines de vos données personnelles, à l’exception de toute information financière, de paiement par carte, de données de santé ou de mots de passe de comptes. » souligne Air Arabia.

Les catégories de données affectées incluent l’adresse e-mail, le nom, le numéro de téléphone, la date de naissance, la nationalité, le pays et, pour un nombre limité de clients, le numéro de passeport et les détails de voyages antérieurs.

« À titre de mesure de précaution et pour votre propre sécurité, nous vous conseillons de vérifier vos mots de passe et de les changer si nécessaire. » Bin voyons, et pour les données personnelles, les clients doivent faire quoi ? Espérer qu’aucuns djinns malveillants ne leur vole dans les plumes ?

Mise à jour : les 3 adresses web de téléchargement ont été fermées. Sauf que… le pirate en a ouvert une quatrième adresse qui sera trés compliquée à faire fermée. Elle est gérée par l’administrateur du forum pirate !

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

0

Une nouvelle attaque de grande ampleur cible Cisco : des données sensibles mises en vente par « IntelBroker »

Posted On 25 Oct 2024
, By
0

Dell confronté à une Cyber intrusion majeure : des millions de clients impactés

Posted On 10 Mai 2024
, By
accès administrateurs
0

La plateforme Magento ciblée par une vague d’attaques par exploit-kits

Posted On 22 Oct 2015
, By

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Partenaires

Transmettre vos fichiers sécurisés à ZATAZ IS Decisions Logo Guardia CS, école de cybersécurité à Paris, Lyon et Bordeaux
Cyber university
ZATAZ Partenaire du Forum International de la Cybersécurité
Ambient IT Formation OSCP Tutos gratuits sécurité informatique

Publicité

Flux Data Security

Partenaires de ZATAZ

Oteria Cyber School
Barracuda ! Abonnez-vous gratuitement aux actuaités de ZATAZ Soyez plus rapide que les pirates informatiques ! facebook twitter instagram twitch instagram youtube zataz

Publicités

Rechercher une info

Calendrier

novembre 2024
L M M J V S D
 123
45678910
11121314151617
18192021222324
252627282930  

Les + commentés

Loi Fake News Patchs Tuesday chantage par mail

Retour du chantage par mail : je vous vois à poil !

210 Comments
Escroquerie - Plusieurs dizaines de lecteurs de ZATAZ m'ont alerté d'un étrange courriel reçu. Il contient le mot de passe des cibles et réclame de l'argent pour ne pas en divulguer plus. ZATAZ va vous expliquer le fond de l'arnaque.

Escroquerie : chantage par mail à l'encontre de milliers de Français

206 Comments
Chantage

Chantage par mail : NON vous n'avez pas été piraté

150 Comments

Publicités

Sur le Oueb

Revue de presse : ZATAZ Revue de presse
Réseaux sociaux : TW/FB/TK/Masto/LK
DSB : Data Security Breach
Page officielle Damien Bancal

Divers

Remonter un problème.
Mentions légales.
Certaines images viennent de Freepik.
Typo titre : adrien-coquet.com

Protocole d’alerte ZATAZ

Protocole ZATAZ (2023) : 80 876
Taux de correction (100 derniers cas) : 97 %
Alerter anonymement.
Page sécurisée Bluefiles pour transmettre à ZATAZ un fichier.

Service Veille ZATAZ

Espaces pirates sous surveillance: 217 201 Alertes envoyées au 01/11/2023 : 27 801 Fuites constatées en 2023 : + 17 milliards Service veille ZATAZ : veillezataz.com

L'école de cybersécurité Cyber Management School
Copyright 1996 - 2020 :: ZATAZ - Réalisation DB. - Le site OFFICIEL est ZATAZ.COM - Le reste ne serait que contrefaçon