10 avril 2019

Le 26 mars 2019, Adobe, l’éditeur de la plateforme e-commerce Magento annonçait avoir identifié 37 failles de sécurité importantes et critiques sur les versions 1 et 2 de Magento.

La plus critique selon l’équipe de sécurité est une faille de type injection SQL non authentifiée. Cette faille exploitable rend vulnérable de nombreuses versions de la plateforme open-source et commerce. Elle pourrait être activement exploitée à des fins de vols de coordonnées bancaires (card skimming). Pour le moment, Adobe n’a pas relevé d’exploitation de la faille sur le « security center ».

magento-securite-patches-2019.jpg

Un correctif d’urgence « RODSECBUG-2198 » pour les versions 2 a été publié afin de patcher cette faille de sécurité. Mais la mise à jour vers une version récente de Magento est indispensable pour résoudre les autres problèmes.

Quelles sont les versions de Magento Visées par les vulnérabilités ?


Les versions suivantes de Magento sont impactées par ces problèmes de sécurité :

  • Magento Open Source avant 1.9.4.1,
  • Magento Commerce avant 1.14.4.1,
  • Magento 2.1 avant 2.1.17,
  • Magento 2.2 avant 2.2.8,
  • Magento 2.3 avant 2.3.1.

Une faille critique préoccupe les experts en sécurité

Quatre vulnérabilités ont un score supérieur à 9 sur l'échelle CVSS (Common Vulnerability Scoring System), ce qui signifie qu'elles sont critiques. Parmi celles-ci, une faille de type injection SQL préoccupe particulièrement l’équipe en charge de la sécurité, car elle peut être exploitée sans authentification.
Selon la société experte en sécurité Sucuri, la vulnérabilité est très facile à exploiter. Les chercheurs de Sucuri ont en effet déjà procédé à une étude d’ingénierie inversée du correctif et créé un exploit afin de prouver la possibilité d’exploitation de la faille.
Les attaques non authentifiées sont très sérieuses car elles peuvent être automatisées, ce qui permet aux pirates de mener facilement des attaques généralisées contre des sites web vulnérables.

Quelles actions possibles pour résoudre ces vulnérabilités ?

L’équipe dédiée à la sécurité de la plateforme de vente en ligne (Magento Security Team), recommande vivement de mettre à jour les versions de Magento :

  • A minima vers la realise 1.9.4.1 pour la version Open source sous Magento 1.
  • A minima vers la realise 1.14.4.1 pour la version Commerce sous Magento 1.
  • Vers les versions 2.2.8 ou 2.3.1 pour les sites e-commerce basés sur la version 2.

Afin de protéger rapidement les sites tournant sous Magento 2 contre la faille de type injection SQL, il est possible d’installer le patch RODSECBUG-2198. Mais une mise à jour vers une des versions indiquées ci-dessus est nécessaire pour résoudre les autres problèmes de sécurité. Ce patch permet de corriger plusieurs vulnérabilités dont des failles basées sur du « Remote Code Exécution » (RCE), et du « Cross-Site Scripting » (XSS).

Pour les sites utilisant les versions 1 non sécurisées de la plateforme et ne pouvant pas être mises à jour rapidement, il est possible d’installer les correctifs SUPEE-11086 afin de profiter de la protection contre la vulnérabilité critique (SQL injection) et d’autres failles RCE et XSS.

Pour les commerçants utilisant la version cloud, il est possible de mettre niveau « ECE-Tools » vers la version 2002.0.17 afin de corriger certaines vulnérabilités. L’équipe chargée de l’infrastructure a ajouté des règles supplémentaires (WAF), afin de déjouer les techniques actuellement connues permettant d’exploiter les vulnérabilités.

 

Sources :
https://magento.com/security/patches/magento-2.3.1-2.2.8-and-2.1.17-security-update
https://magento.com/security/patches/supee-11086