[INFO] Prise de contrôle d’un système via 6 vulnérabilités au sein de Magento

[INFO] Prise de contrôle d’un système via 6 vulnérabilités au sein de Magento

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur la publication de failles de sécurité pour la version 2 du CMS Magento.

Note : un code d’exploitation existe.


Description :

Six vulnérabilités ont été corrigées au sein de Magento. Leur exploitation permettait à un attaquant d’accéder à des informations sensibles, de manipuler des données et d’exécuter du code arbitraire.

La première vulnérabilité provenait d’un défaut au sein de l’API (« SOAP » ou « REST »). Un attaquant non authentifié était en mesure d’exploiter celui-ci afin d’exécuter du code arbitraire à distance.
Note: Les API « SOAP » et « REST » sont activées par défaut.

La seconde vulnérabilité était due au non-effacement du code d’installation de Magento après l’installation de celui-ci. Un attaquant non authentifié pouvait ainsi exécuter du code PHP si le dossier nécessaire à la réinstallation « /app/etc », possédait toujours les droits en écriture.

La troisième vulnérabilité affectait les appels « SOAP » et « REST ». Elle permettait à un utilisateur authentifié de modifier les informations d’autres utilisateurs.

Une vulnérabilité provenait d’un manque de contrôle au sein du module « Authorize.net ». En incitant sa victime à suivre un lien spécialement conçu, un pirate pouvait forcer le navigateur de celle-ci à exécuter un code JavaScript malveillant. L’exploitation de cette vulnérabilité permettait de mener différentes attaques : le vol du cookie de session, la modification de l’apparence du site web ciblé dans le contexte du navigateur, ou encore la redirection de l’utilisateur vers un site malveillant (par exemple pour mener une attaque de type phishing en affichant un faux formulaire afin de voler les identifiants et mots de passe).

Une vulnérabilité provenait d’un défaut de contrôle au sein de l’API « Quote ». Un attaquant non authentifié était en mesure d’accéder aux données privées d’un utilisateur authentifié.

La dernière vulnérabilité provenait d’un défaut d’affichage au sein des erreurs retournées par l’application. En effet, les erreurs contenaient des informations techniques pouvant être exploitées par un attaquant afin de poursuivre son attaque.


Vulnérables :

  • Enterprise & Community Edition < 2.0.6

Non vulnérables :

  • Enterprise & Community Edition 2.0.6

Recommandation :

Le CERT-XMCO recommande l’installation de la version 2.0.6, disponible depuis le site de l’éditeur à l’adresse :

  • https://www.magentocommerce.com/products/downloads/

Référence :

  • https://magento.com/security/patches/magento-206-security-update

Référence CERT-XMCO :
CXA-2016-1570


Etienne Baudin

Analyste CERT-XMCO