Faille de sécurité majeure (SQL Injection) découverte sur le CMS e-commerce Prestashop (+ MAJ patch de sécurité)

0
667
E-commerce

Des hackers ont découvert un moyen d’utiliser une vulnérabilité de sécurité sur le CMS Prestashop, permettant de lancer une exécution de code arbitraire sur les serveurs hébergeant des sites sous PrestaShop. Les versions récentes (1.7.8.2 ou supérieures) ne seraient pas concernées, sous certaines conditions.

Des milliers de boutiques Prestashop menacées d’une faille de sécurité

Tout commence par un e-mail, adressé par Prestashop à l’ensemble de l’écosystème d’utilisateurs du CMS e-commerce, des agences partenaires jusqu’aux propriétaires de boutiques. Voici le mail reçu le 22/07/2022 à 16h02 :


Afin de maintenir la qualité de nos services, nous vous informons qu’une faille de sécurité a été identifiée.

Cette vulnérabilité est susceptible d’affecter les boutiques qui n’ont pas effectué les dernières mises à jour logicielles recommandées.

Dans le cas où vous seriez concerné, nous vous invitons à prendre connaissance des détails de cette vulnérabilité afin d’y remédier dans les meilleurs délais et de prendre les mesures nécessaires que vous ou votre Délégué à la protection des données jugerez nécessaires.

Dans le cas où votre boutique serait compromise et afin de vous permettre de notifier cette violation de données personnelles à l’autorité de contrôle sur cette page du site de la Commission Nationale de l’Informatique et des Libertés (ci-après la  » CNIL « ), nous partageons avec vous ci-dessous le déroulement des investigations menées, ainsi que les premiers éléments techniques en notre possession.

Le 19 juillet 2022, à 14h00, plusieurs membres de l’écosystème PrestaShop ont notifié aux employés de PrestaShop des incidents de sécurité.

Quelques heures plus tard, il a été confirmé par les équipes techniques de PrestaShop qu’un code malveillant ( » payload « ) a été inséré par un tiers malveillant sur plusieurs boutiques e-commerce.

Le même jour à 22h00, les équipes techniques de PrestaShop ont pu comprendre et reproduire l’attaque et ont pu confirmer l’existence de la faille de sécurité permettant à un tiers malveillant d’insérer un code malveillant dans les scripts des boutiques de commerce électronique hébergées par la société PrestaShop et créées avec sa solution.

L’insertion de ce code malveillant, susceptible de permettre à ce(s) tiers de prendre le contrôle des sites concernés semble avoir été rendue possible par une  » injection SQL « , couplée à une faille de sécurité constatée chez les exploitants de ces magasins qui n’ont pas effectué les dernières mises à jour logicielles recommandées par la société PrestaShop.

Le 20 juillet 2022 au matin, un rapport a été rédigé par les membres de la cellule de crise pour décrire la cyberattaque, ses causes et les conséquences identifiées, ainsi que les mesures de résolution et de communication à mettre en œuvre.

A ce jour, une plainte pénale est en cours de dépôt ainsi qu’une déclaration à l’Agence Nationale de la Sécurité des Systèmes d’Information.

Si vous avez besoin d’informations complémentaires, n’hésitez pas à nous contacter à notre adresse électronique : privacy AROBASE prestashop POINT com

A toutes fins utiles, nous vous rappelons qu’il est de votre responsabilité d’effectuer les mises à jour logicielles nécessaires afin que les systèmes restent protégés contre les failles de sécurité.

Pour en savoir plus sur « le fonctionnement de l’attaque, ce qu’il faut faire pour protéger votre boutique et comment savoir si vous avez été infecté », veuillez lire l’article suivant : https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/.

Soyez assuré que nous ferons tout notre possible pour vous aider à mener à bien votre projet.

Meilleures salutations,

PrestaShop


Prestashop en beta 1.7.8

Une vulnérabilité via une injection SQL à l’origine du problème

En enquêtant sur cette attaque, l’équipe Prestashop a découvert une chaîne de vulnérabilité inconnue jusqu’alors, qu’ils sont en train de corriger. Cependant, pour le moment, ils ne sont pas sûrs qu’il s’agisse de la seule façon de réaliser l’attaque. Dans l’état actuel de leurs connaissances, ce problème semble concerner les boutiques basées sur les versions 1.6.0.10 ou supérieures, sujettes à des vulnérabilités d’injection SQL. Les versions 1.7.8.2 et supérieures ne seraient pas vulnérables, à moins qu’elles n’exécutent un module ou un code personnalisé qui comporte lui-même une vulnérabilité d’injection SQL.

Mise à jour du 25/07/2022 : un patch a été mis en ligne par l’équipe Prestashop

Chers Marchands,

PrestaShop a été informé que des acteurs malveillants ont trouvé un moyen d’exploiter une faille de sécurité majeure pour effectuer une exécution de code arbitraire dans les serveurs exécutant certains sites PrestaShop. Il semble que ce problème ne concerne que les boutiques vulnérables à une attaque par injection SQL.

Un patch pour corriger la faille identifiée est maintenant disponible grâce au travail conjoint des mainteneurs de PrestaShop et de la communauté PrestaShop. Pour éviter que l’une de vos boutiques ne soit attaquée, nous vous recommandons vivement de la mettre à jour.

Veuillez noter que ce patch résout la faille identifiée par PrestaShop, mais que si une boutique a déjà été attaquée par des acteurs malveillants, le patch ne rétablira pas sa sécurité. Nous vous recommandons de contacter un professionnel pour effectuer un audit sur votre boutique, afin de déterminer si elle a été attaquée et d’effectuer le nettoyage nécessaire si besoin.

L’équipe PrestaShop continuera à enquêter et à évaluer les autres moyens d’exploiter cette faille que des acteurs malveillants pourraient trouver. Si un autre problème devait être identifié, nous le signalerions immédiatement.

PrestaShop souhaite souligner l’importance de maintenir les systèmes à jour afin de protéger les boutiques contre les attaques. Cela signifie qu’il faut régulièrement mettre à jour la solution PrestaShop et ses modules, ainsi que les environnements de serveurs.

PrestaShop SA surveille de manière proactive les failles de sécurité et encourage leur signalement par le biais d’une équipe dédiée qui peut être contactée via security@prestashop.com. PrestaShop SA finance également un programme Bug Bounty qui récompense les chercheurs pour la détection et le signalement responsable des failles de sécurité, afin qu’elles soient corrigées avant que des acteurs malveillants ne puissent les exploiter.

L’équipe PrestaShop

→ Le lien pour récupérer le patch : https://build.prestashop.com/news/prestashop-1-7-8-7-maintenance-release/

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici