Un avis urgent de PrestaShop avertit que les attaquants exploitent une "combinaison de vulnérabilités de sécurité connues et inconnues" pour injecter du code malveillant sur les sites de commerce électronique utilisant le logiciel PrestaShop.

"Un exploit récemment découvert pourrait permettre à des attaquants distants de prendre le contrôle de votre boutique", a déclaré PrestaShop, notant que le problème de sécurité pourrait exposer jusqu'à 300 000 marchands tiers à des compromissions de serveurs qui exposent des données sensibles.

"En enquêtant sur cette attaque, nous avons découvert une chaîne de vulnérabilité inconnue jusqu'alors. Pour l'instant, cependant, nous ne pouvons pas être sûrs que c'est le seul moyen pour eux de réaliser l'attaque", a ajouté l'équipe.

"Au meilleur de notre compréhension, ce problème semble concerner les boutiques basées sur les versions 1.6.0.10 ou supérieures, sujettes à des vulnérabilités d'injection SQL. Les versions 1.7.8.2 et supérieures ne sont pas vulnérables, à moins qu'elles n'exécutent un module ou un code personnalisé qui comprend lui-même une vulnérabilité d'injection SQL. Notez que les versions 2.0.0~2.1.0 du module Wishlist (blockwishlist) sont vulnérables."

L'équipe PrestaShop a déclaré que les attaquants semblent cibler les boutiques utilisant des logiciels ou des modules obsolètes, des modules tiers vulnérables, ou une vulnérabilité (zero day) encore à découvrir.

"Après que les attaquants ont réussi à prendre le contrôle d'une boutique, ils ont injecté un faux formulaire de paiement sur la page de paiement du front-office. Dans ce scénario, les clients de la boutique peuvent saisir leurs informations de carte de crédit sur le faux formulaire et les envoyer sans le savoir aux attaquants", a déclaré l'équipe.

"Bien que cela semble être le modèle commun, les attaquants pourraient en utiliser un autre, en plaçant un nom de fichier différent, en modifiant d'autres parties du logiciel, en plantant du code malveillant ailleurs, ou même en effaçant leurs traces une fois l'attaque réussie", a ajouté PrestaShop.

PrestaShop a déclaré que les attaquants pourraient utiliser les fonctionnalités de stockage de cache MySQL Smarty dans le cadre du vecteur d'attaque et recommande aux magasins de désactiver cette fonctionnalité rarement utilisée comme mesure d'atténuation pour briser la chaîne d'exploitation.

PrestaShop a également recommandé aux fournisseurs de site de commerce électronique de procéder à un audit complet de leur site et de s'assurer qu'aucun fichier n'a été modifié et qu'aucun code malveillant n'a été ajouté.