Exploitation active d'une vulnérabilité touchant la plate-forme Web de commerce électronique Magento

Numéro : AL15-005
Date : 24 avril 2015

Objet

La présente alerte vise à attire l'attention sur une vulnérabilité d'exécution de code à distance touchant les versions libres et d'entreprise du système de gestion du contenu pour commerce électronique Magento; l'exploitation de cette vulnérabilité peut entraîner des fraudes financières.

Évaluation

Le CCRIC a été informé de sources ouvertes que cette vulnérabilité est exploitée activement. Les attaquants peuvent contourner les mécanismes de sécurité et prendre le contrôle du site de commerce électronique et de sa base de données, ce qui peut entraîner le vol de cartes de crédit ou l'obtention des droits d'accès d'administrateur. On peut aussi exploiter cette vulnérabilité pour modifier à loisir le prix des articles. L'exploiter exige de combiner plusieurs vulnérabilités : CVE-2015-1397, CVE-2015-1398 et CVE-2015-1399.

On a confirmé que les versions 1.9.1.0 CE et 1.14.1.0 EE, les plus récentes au moment d'écrire ces lignes, sont vulnérables.

Magento a rendu public un correctif de sécurité, SUPEE-5344, qui règle ce problème.

Mesure suggérée

Le CCRIC recommande d'appliquer ce correctif dans les plus brefs délais, car les systèmes touchés sont accessibles par Internet.

Références

Correctif du fournisseur : https://www.magentocommerce.com/products/downloads/magento/
Validation de principe : http://blog.checkpoint.com/2015/04/20/analyzing-magento-vulnerability/
Code d'exploitation : https://blog.sucuri.net/2015/04/magento-shoplift-supee-5344-exploits-in-the-wild.html

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :