Les pirates prennent le contrôle des magasins en ligne et volent les données des cartes de paiement des clients en exploitant une vulnérabilité vieille de trois ans dans un plugin Magento selon le FBI.
Ce type d'attaque est connu sous le nom de web skimming ou Magecart et en octobre de l'année dernière, le FBI a émis un avertissement similaire concernant une augmentation de ces types d'attaques.
Selon le FBI, les pirates informatiques exploitent cette vulnérabilité afin de voler les informations d'identification de l'environnement aux magasins en ligne exécutant Magento, qu'ils utilisent ensuite pour prendre le contrôle total des sites ciblés.
Sommaire
Vulnérabilité du plugin MAGMI
Une fois qu'un attaquant a accès à un site exécutant le plug-in vulnérable, il plante des coquilles Web pour un accès futur et commence à modifier les fichiers PHP et JavaScript du site avec un code malveillant qui enregistre les détails de paiement des clients. Ces données de carte de paiement sont ensuite encodées au format Base64, cachées dans un fichier JPEG et envoyées au serveur des pirates.
Le serveur malveillant utilisé par les pirates informatiques derrière cette dernière campagne est utilisé par le service de cybercriminalité Inter qui loue l'infrastructure à des groupes de piratage peu qualifiés afin qu'ils puissent lancer des opérations d'écrémage Web.
La mise à jour du plug-in MAGMI vers la version 0.7.23 est fortement recommandée pour les magasins en ligne utilisant le plug-in car cela corrige le bogue XSS que les pirates utilisent pour accéder aux magasins en premier lieu. Malheureusement, le plugin ne fonctionne que pour les anciennes versions des magasins Magento exécutant la branche 1.x qui devrait atteindre sa fin de vie en juin.
L'alerte flash du FBI contient également des indicateurs de compromis (IOC) que les utilisateurs de Magento peuvent déployer à l'intérieur de leurs pare-feu d'applications Web pour empêcher les attaques contre leurs sites.
Via ZDNet
