Une faille de sécurité importante découverte sur les boutiques Prestashop

Vous avez peut-être reçu ce mail vendredi 22 juillet dernier, dans lequel Prestashop vous prévient d’une faille de sécurité. En effet, l’équipe de dév du CMS e-commerce a été informée d’une faille permettant l’exécution arbitraire de code par un tiers. En somme, un pirate peut envoyer des ordres à votre site sans vous demander votre avis.

Qui peut être victime de cette faille de sécurité Prestashop ?

Tout d’abord, sachez que si vous êtes sur une version supérieure ou égale à 1.7.8.2, vous n’êtes pas vulnérables. Cela concerne les boutiques basées sur la version 1.6.0.10 de Prestashop. Celles-ci peuvent donc être la cible d’injection SQL. On vous explique tout.

Comment fonctionne l’attaque via cette faille de sécurité Prestashop ?

Pour commencer, sachez que votre boutique qui est visible par vos visiteurs et administrable par vous-même interagit avec une base de données. Dans le cas de Prestashop, cette base de données fonctionne avec le langage MySQL. C’est le langage qui permet de donner des ordres pour créer, modifier, supprimer des données. En somme, les manipuler.

Avec cette faille de sécurité Prestashop, le pirate a un modus operandi qui selon l’équipe Prestashop est globalement le même :

  • Le pirate soumet une requête en GET via la faille de sécurité. Quand une requête se trouve être en GET, c’est que les données se trouvent dans l’URL. Ça peut être utilisé pour un formulaire de contact, par exemple.
  • Environ une seconde après avoir soumis la première requête, le pirate soumet une deuxième requête en GET mais cette fois sur la page d’accueil, sans paramètre prédéfini. Cela crée alors un fichier PHP intitulé blm.php à la racine du dossier où se trouve le fichier. Donc si vous voyez un fichier de ce nom-là dans le dossier « www » ou « public_html » (généralement le nom du dossier racine), contactez immédiatement votre agence web.
  • Enfin, le pirate soumet une dernière requête en GET en interrogeant le fichier blm.php, qui lui permettra d’exécuter les commandes de son choix.

Exemple potentiellement dangereux une fois ces trois actions effectuées

Le pirate a la possibilité d’exécuter des requêtes sur votre boutique. Il a injecté un formulaire factice de paiement sur la page d’accueil. Les visiteurs peuvent ainsi compléter ce formulaire pensant qu’il est légitime et y mettre leurs informations de paiement.

Dans d’autres cas, il pourrait aussi bien modifier d’autres parties de votre site et y injecter des pages illégitimes, ou tout simplement modifier des parties du logiciel Prestashop.

 

Que faire si mon site Prestashop a été piraté ?

Une attaque se matérialise principalement par ce type de requête dans votre fichier de logs :

– [14/Jul/2022:16:20:56 +0200] « POST /modules/XXX/XXX.php HTTP/1.1 » 200 82772 « – » « Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14 »
– [14/Jul/2022:16:20:57 +0200] « GET / HTTP/1.1 » 200 63011 « – » « Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.98 Safari/537.36 »
– [14/Jul/2022:16:20:58 +0200] « POST /blm.php HTTP/1.1 » 200 82696 « – » « Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0 »

Commencez par faire la vérification en accord avec la checklist suivante :

  • Mon site est-il en dessous de la version Prestashop 1.7.8.2 ?
  • Mes modules sont-ils à jour ?
  • Mon fichier de logs a-t-il des informations concernant des potentielles requêtes en GET comme celle présentée plus haut ?
  • Un fichier blm.php est-il présent dans mon dossier racine ?

Si vous remarquez quoi que ce soit de suspect parmi la liste ci-dessus, contactez immédiatement votre agence web. Une vérification ne prend pas très longtemps. Dans le cas où vous aurez subi une attaque et qu’elle remonte à plusieurs jours, ou qu’entre-temps des clients ont passé commande, prévenez-les et avertissez la CNIL que vous avez eu une fuite de données personnelles.

 

Bien évidemment, Prestashop n’est pas un cas isolé. Ce n’est pas la seule solution à être attaquée. Des sites conçus sur WordPress sont souvent la cible d’attaques et a fortiori les sites e-commerce.

Si vous avez besoin d’un accompagnement pour votre boutique Prestashop, n’hésitez pas à contacter l’équipe de Studio218 !

Ne ratez aucune news !

dernier post