[PATCH][MAGENTO] Prise de contrôle du système et contournement de sécurité via 15 vulnérabilités au sein de Magento

[PATCH][MAGENTO] Prise de contrôle du système et contournement de sécurité via 15 vulnérabilités au sein de Magento

Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons de revenir sur la publication d’un correctif pour le CMS Magento. L’exploitation de ces vulnérabilités permettait à un attaquant distant de voler des informations, de manipuler des données, de contourner des restrictions d’accès voire de prendre le contrôle du système.


Description :

Les vulnérabilités référencées APPSEC-1686, APPSEC-1626, APPSEC-1746 et APPSEC-1559 étaient liées à Zend Mail ainsi qu’à l’interface d’administration. Leur exploitation permettait à un attaquant de prendre le contrôle du système.

Les vulnérabilités référencées APPSEC-1699, APPSEC-1663, APPSEC-1661, APPSEC-1679, APPSEC-1622 étaient dues à des erreurs de gestion de jetons d’API, de vérifications de permission, d’ACL et de routing. Leur exploitation permettait à un attaquant de contourner des restrictions d’accès.

La faille de sécurité référencée APPSEC-1752 résultait d’un manque de contrôles sur une page non spécifiée. En incitant sa victime à suivre un lien spécialement conçu, un pirate pouvait forcer le navigateur de cette dernière à exécuter un code JavaScript malveillant. L’exploitation de cette vulnérabilité permettait de mener différentes attaques : vol du cookie de session, modification de l’apparence du site web ciblé dans le contexte du navigateur, ou encore la redirection de l’utilisateur vers un site malveillant (par exemple pour mener une attaque de type phishing en affichant un faux formulaire afin de voler les identifiants et mots de passe).

La vulnérabilité référencée APPSEC-1659 était due à la présence d’une vulnérabilité dans une librairie JavaScript utilisée par Magento. Cette vulnérabilité n’affectait cependant pas Magento.

Les vulnérabilités référencées APPSEC-1565, APPSEC-1632, APPSEC-1610, APPSEC-1666 provenaient d’erreurs diverses. Leur exploitation permettait de voler des informations.


 

Recommandation :

Les correctifs de sécurité publiés pour les versions 2.0.x et 2.1.x de Magento corrigent 15 vulnérabilités. Le CERT-XMCO recommande l’installation des dernières versions de Magento (respectivement 2.0.14 et 2.1.7).


Référence :

Référence CERT-XMCO :


Antoine Dumouchel