Une Faille de Sécurité Majeure a été Découverte sur PrestaShop ! (Juillet 2022)

Veille, Actualités et Astuces E-commerce (Blog)

26 juillet 2022 0

Tous les sites PrestaShop qui utilisent la version 1.6.0.10 ou supérieures sont vulnérables à une attaque de type injection SQL qui peut avoir de graves conséquences sur les coordonnées de cartes bancaires des clients. Voici ce que l’on sait à propos de cette faille de sécurité majeure qui semble avoir été découverte autour du 14 juillet 2022.

Accès rapide (Sommaire) :

Depuis quand cette faille est exploitée ?

Il semblerait que la faille de sécurité détectée soit exploitée depuis le 14 Juillet 2022.

Quel est le type de vulnérabilité détecté ?

Une faille de sécurité concernant les injections SQL.

Quelle est la cible prioritaire des hackers ?

Le module de paiement du site pour collecter les données de cartes bancaires des clients.

Quelles sont les versions de PrestaShop impactées ?

Les versions 1.6.0.10 ou supérieures sont celles qui sont directement impactées par cette faille de sécurité découverte en Juillet 2022.

Quelles sont les versions de PrestaShop sécurisées ?

Les versions 1.7.8.2 ou supérieures ne sont (apparemment) pas vulnérables à cette faille de sécurité (sauf si du code source a été modifié par les développeurs et n’a pas été contrôlé par PrestaShop).

Comme la faille de sécurité fonctionne-t-elle ? Quels sont les risques ?

L’attaque nécessite que la boutique soit vulnérable aux exploits d’injection SQL. Selon PrestaShop, la dernière version de PrestaShop et ses modules sont exempts de ces vulnérabilités.

Selon les informations à disposition, les attaquants semblent cibler les boutiques utilisant des logiciels ou des modules obsolètes, des modules tiers vulnérables, ou une vulnérabilité qui n’a pas encore été découverte par les équipes de PrestaShop.

D’après les échanges de PrestaShop avec les propriétaires de boutiques en lignes et les développeurs qui opèrent sur ces dernières, le modus operandi récurrent ressemble à ceci :

L’attaquant soumet une requête POST au point de terminaison vulnérable à l’injection SQL.
Après environ une seconde, l’attaquant soumet une requête GET à la page d’accueil, sans paramètres. Cela entraîne la création d’un fichier PHP appelé blm.php à la racine du répertoire de la boutique.
L’attaquant soumet alors une requête GET au nouveau fichier créé, blm.php, ce qui lui permet d’exécuter des instructions arbitraires.
Après avoir réussi à prendre le contrôle d’une boutique, les attaquants ont injecté un faux formulaire de paiement sur la page de paiement du front-office. Dans ce scénario, les clients de la boutique peuvent saisir les informations de leur carte de crédit sur le faux formulaire et les envoyer sans le savoir aux attaquants.

Bien que cela semble être le schéma le plus courant, les attaquants peuvent en utiliser un autre, en plaçant un nom de fichier différent, en modifiant d’autres parties du logiciel, en plaçant un code malveillant ailleurs, ou même en effaçant leurs traces une fois l’attaque réussie.

Comment sécuriser son site PrestaShop ?

Selon les informations disponibles actuellement sur cette faille de sécurité, les attaquants pourraient utiliser la fonctionnalité de stockage en cache Smarty de MySQL comme vecteur d’attaque. Cette fonctionnalité est rarement utilisée et est désactivée par défaut, mais elle peut être activée à distance par l’attaquant. Jusqu’à ce qu’un correctif soit publié, nous recommandons de désactiver physiquement cette fonctionnalité dans le code de PrestaShop afin de briser la chaîne d’attaque.

Pour ce faire, localisez le fichier config/smarty.config.inc.php sur votre installation PrestaShop, et supprimez les lignes 43-46 (PrestaShop 1.7) ou 40-43 (PrestaShop 1.6) :

if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
    include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
    $smarty->caching_type = 'mysql';
}

Pour optimiser la sécurisation de son site, il est par ailleurs vivement recommandé par PrestaShop de :

Migrer vers les dernières versions disponibles et de limiter au maximum l’utilisation de modules PrestaShop non mis à jour récemment.
Vérifier les logs serveur pour tenter d’identifier une éventuelle activité anormale récente.

- [14/Jul/2022:16:20:56 +0200] "POST /modules/XXX/XXX.php HTTP/1.1" 200 82772 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14"
 
- [14/Jul/2022:16:20:57 +0200] "GET / HTTP/1.1" 200 63011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.98 Safari/537.36"
 
- [14/Jul/2022:16:20:58 +0200] "POST /blm.php HTTP/1.1" 200 82696 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0"

Envisagez de contacter un spécialiste pour effectuer un audit complet de votre site et assurez-vous qu’aucun fichier n’a été modifié et qu’aucun code malveillant n’a été ajouté.

Sachez que le fait de ne pas trouver ce schéma dans vos journaux ne signifie pas nécessairement que votre boutique n’a pas été touchée par l’attaque : la complexité de l’exploit signifie qu’il existe plusieurs façons de l’exécuter, et les attaquants peuvent également tenter de dissimuler leurs traces.

Une version corrective (patch de sécurité) est actuellement en cours de test, et devrait être publiée prochainement.

PrestaShop a par ailleurs souligné l’importance de maintenir votre système à jour pour prévenir de telles attaques. Cela signifie qu’il faut régulièrement mettre à jour à la fois votre logiciel PrestaShop et ses modules, ainsi que votre environnement serveur.

Source

4.4/5 - (8 votes)

Benjamin Beinard

Principalement passionné par les nouvelles technologies, l’IA, la cybersécurité, je suis un professionnel de nature discrète qui n’aime pas trop les réseaux sociaux (je n’ai pas de comptes publics). Rédacteur indépendant pour LEPTIDIGITAL, j’interviens en priorité sur des sujets d’actualité mais aussi sur des articles de fond. Pour me contacter : [email protected]

www.leptidigital.fr/

Prestashop