Retour sur l’historique de cette faille Magento SUPEE

Les failles SUPEE-5344 et SUPEE-1533, ont été découvertes (mais non divulguées pour la 5344) en février 2015. La faille 5344 (plus récente) révèle un problème dans une fonction de l’éditeur Wysiwyg de Magento permettant de contourner l’authentification et d’exécuter du code ou des requêtes SQL. Ainsi, les pirates peuvent créer Magento-Dragon-Supeepar exemple un nouveau compte utilisateur et par ce biais installer des modules & extensions donnant un large contrôle sur le site victime.

Les détails techniques de cette faille n’ont été communiqués officiellement que très récemment. Néanmoins, la faille circulait déjà dans le milieu de la sécurité. Vous trouverez sur cette page « Checkpoint » un bon résumé de son fonctionnement.

A ce jour, l’attaque a été industrialisée par des pirates qui utilisent des botnets pour l’exploiter automatiquement. Les conséquences évidentes sont que les sites non patchés se font compromettre les uns à la suite des autres. Il est VITAL d’appliquer le correctif au plus vite.

E-Commerce, la sécurité avant tout !

NBS System est l’un des acteurs référents en France dans la communauté Magento. A ce jour la société héberge plus de 60% du parc « Magento Enterprise » et 15% du parc « CE » en France. Cela lui permet d’avoir un regard objectif sur l’activité Magento.

Suite à la découverte de la faille SUPEE – 5344 en février 2015, la société a lancé une communication auprès de tous ses clients basés sur la technologie Magento. Son objectif ? Informer ces sites web des risques liés à cette vulnérabilité et leur demander d’appliquer le plus rapidement possible le patch proposé par Magento. Malgré la dangerosité de cette dernière, très peu de sites ont mis en place le patch en question ; peut-être par manque de temps, de faisabilité ou encore par manque de prise de consciences des risques encourus. En ce qui concerne les clients de NBS System, seuls quelques dizaines de sites ont appliqué le patch.

Chez les hébergeurs n’ayant pas de dispositifs de sécurité avancés, la vulnérabilité est exploitable. Un site victime peut se considérer comme totalement compromis (backdoor) et, a minima, comme ayant perdu sa base de clients et commandes.

Chez NBS System, au sein du parc de clients Magento ayant opté pour un hébergement standard (non sécurisé par le cloud privé CerberHost), près de 3% des sites ont été identifiés comme compromis, et le chiffre augmente.

cloud-securise-cerberhostL’offre CerberHost bloque nativement le procédé permettant aux pirates de contourner l’authentification. Les clients disposant de ce dispositif de Cloud privé de très haute sécurité n’ont donc pas été compromis. Cependant, parmi eux peu ont pris le temps d’appliquer le patch (ils sont probablement sereins face à la protection apportée par CerberHost). Il est néanmoins important que TOUS les sites mettent en place cette mise à jour.

 Comment se protéger ?

Pour corriger cette vulnérabilité, il faut appliquer le patch présent sur la page de download Magento. Si votre site est compromis, il faut effacer le compte utilisateur créé (s’il y en a un) et les extensions supplémentaires installées. Changer tous les mots de passe permet également de repartir sur des bases saines ! Malheureusement, vos données ont déjà probablement été « aspirées », il est trop tard pour changer ce point.magento

Ensuite, il faut refaire la compilation avec le « Magento Compiler » sinon le site risque de ne pas être correctement patché.

Par ailleurs, si le core a été surchargé, il est possible aussi que le patch ne corrige pas la faille et qu’il soit nécessaire de l’installer « à la main ». Vous trouverez plus d’information ici.

Les clients de NBS System peuvent se faire assister par son Support pour réaliser certaines opérations et par notre cellule sécurité (SECOPS) pour tenter de minimiser les dégâts sur les sites compromis.

Philippe Humeau
Philippe Humeau
Philippe a co-fondé NBS System en 1999. Après s’être concentré sur la sécurité, qu’il n’a jamais abandonnée, il se découvre une passion pour le ecommerce à partir de 2008. Tour à tour pentester, CTO, CCO puis CEO, son profil touche-à-tout l’a conduit à devenir directeur marketing et stratégie d’OT Group après notre intégration dans celui-ci.