Une nouvelle faille de sécurité majeure sur Prestashop

Une nouvelle faille de sécurité a été détectée par les équipes de maintenance de Prestashop. En effet, des hackers ont réussi à utiliser une faiblesse du système de sécurité afin d’y intégrer une exécution de code, dans des serveurs qui hébergent des sites Prestashop. Découvrez comment protéger les données confidentielles de votre site e-commerce.

Que s’est-il passé chez Prestashop ?

Les équipes de maintenance Prestashop ont récemment été informées que des personnes malveillantes utilisent une vulnérabilité du système de sécurité, pour réaliser des injections SQL. Ils pourraient potentiellement mettre la main sur différentes informations confidentielles de votre base de données client, telles que les informations de paiement (carte de crédit…) ou bien des mots de passe…

Une chaîne de vulnérabilité inconnue semble être à la source du problème qui concerne les boutiques Prestashop en version 1.6.0.10 et supérieures. Les versions 2.0.0~2.1.0 qui appartiennent au module wishlist ont également un problème de sécurité.

Les boutiques en 1.7.8.2 et + ne sont pas concernés par la faille de sécurité, sauf si elles exécutent un code personnalisé (ou un module), qui comporte une vulnérabilité permettant d’intégrer une injection SQL.

Le support Prestashop indique que les dernières versions de Prestashop ne sont pas concernées par la faille de sécurité.

Comment la faille de sécurité est-elle exploitée ?

Les équipes Prestashop pensent que les attaquants ciblent des boutiques qui possèdent des modules obsolètes, ou même une vulnérabilité pas encore découverte.

Après avoir discuté avec des développeurs et des propriétaires de sites Internet, les attaquants devraient utiliser cette procédure :

1. Soumission d’une requête POST sur la faille de sécurité.
2. Après une seconde, l’attaquant envoie une requête GET sur la page d’accueil. Un fichier PHP « blm.php » est alors créé à la racine du répertoire de la boutique.
3. Enfin, une requête GET est envoyée au nouveau fichier, ce qui permet d’exécuter des actes malveillants.

Lorsque la personne a pris le contrôle de la boutique, il peut alors intégrer un faux formulaire de paiement sur le front-office du site, qui lui permet de récupérer l’intégralité des cartes de crédit qui seront utilisées. D’autres méthodes peuvent également être utilisées par ces personnes malveillantes.

Que devez-vous faire pour protéger votre boutique ?

Assurez-vous que votre boutique et tous ses modules sont mis à jour dans leurs dernières versions. Cela contribuera à protéger votre site contre les vulnérabilités connues et actives en matière d’injection SQL.

D’après les équipes de Prestashop, les attaquants utilisent la fonctionnalité de cache, Smarty de MySQL pour réaliser leurs attaques. C’est une fonctionnalité qui est rarement utilisée sur les boutiques Prestashop, mais qui peut être activée à distance.

À ce jour, le correctif n’est pas publié par les équipes Prestashop, mais nous vous recommandons de désactiver manuellement la fonctionnalité Smarty.

Pour cela, vous devez localiser le fichier  » config/smarty.config.inc.php « , puis supprimez les lignes 43-46 (sur Prestashop 1.7) ou les lignes 40-43 (sur Prestashop 1.6).

Voici ce que vous retrouverez :

if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
    include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
    $smarty->caching_type = 'mysql';
}

Comment savoir si votre boutique a été attaquée ?

Pour savoir si votre site e-commerce a reçu une attaque, vous devez vérifier le journal d’accès de votre serveur. Vous retrouverez peut-être le modèle d’attaque indiqué ci-dessous :

- [14/Jul/2022:16:20:56 +0200] "POST /modules/XXX/XXX.php HTTP/1.1" 200 82772 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14"
 
- [14/Jul/2022:16:20:57 +0200] "GET / HTTP/1.1" 200 63011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.98 Safari/537.36"
 
- [14/Jul/2022:16:20:58 +0200] "POST /blm.php HTTP/1.1" 200 82696 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0"

Malheureusement, il existe plusieurs façons d’exécuter le script en question. Si vous ne le trouvez pas dans le journal d’accès, il y a toujours une probabilité que l’attaquant est utilisé une autre méthode, ou qu’il est dissimulé ses traces.

Cette faille de sécurité doit être prise au sérieux par tous les e-commercants qui utilisent Prestashop et montrent encore une fois tout l’intérêt de réaliser des maintenances de son CMS, ses modules, ses thèmes et son système de sécurité. De nombreuses cartes de crédit peuvent être dérobées en quelques minutes.

Pour plus de sécurité, vous pouvez contacter un spécialiste, tel que RG Design, afin de réaliser un audit de sécurité. Le support Prestashop travaille actuellement sur une version corrective.

Pour en savoir plus, vous pouvez consulter le support Prestashop.