FishPig, un fabricant britannique de logiciels de commerce électronique utilisé par pas moins de 200 000 sites Web, exhorte les clients à réinstaller ou à mettre à jour toutes les extensions de programme existantes après avoir découvert une faille de sécurité de son serveur de distribution qui a permis aux criminels de détourner subrepticement les systèmes clients.
Les acteurs inconnus de la menace ont utilisé leur contrôle des systèmes de FishPig pour mener une attaque de la chaîne d’approvisionnement qui a infecté les systèmes des clients en utilisant les modules Magento 2 payants de FishPig avec Rekoobe, une porte dérobée sophistiquée découverte en juin. Rekoobe se fait passer pour un serveur SMTP bénin et peut être activé par des commandes secrètes liées à la gestion de la commande startTLS d’un attaquant sur Internet. Une fois activé, Rekoobe fournit un shell inversé qui permet à l’auteur de la menace d’envoyer à distance des commandes au serveur infecté.
« Nous enquêtons toujours sur la façon dont l’attaquant a accédé à nos systèmes et ne savons pas actuellement s’il s’agissait d’un exploit de serveur ou d’un exploit d’application », a écrit Ben Tideswell, le développeur principal de FishPig, dans un e-mail. « En ce qui concerne l’attaque elle-même, nous sommes assez habitués à voir des exploits automatisés d’applications et c’est peut-être ainsi que les attaquants ont initialement eu accès à notre système. Une fois à l’intérieur, ils ont dû adopter une approche manuelle pour sélectionner où et comment placer leur exploiter. »
FishPig est un vendeur d’intégrations Magento-WordPress. Magento est une plate-forme de commerce électronique open source utilisée pour développer des marchés en ligne. L’attaque de la chaîne d’approvisionnement n’affecte que les modules Magento 2 payants.
Tideswell a déclaré que la dernière validation logicielle effectuée sur ses serveurs qui n’incluait pas le code malveillant avait été effectuée le 6 août, ce qui en fait la date la plus proche possible à laquelle la violation s’est probablement produite. Sansec, la société de sécurité qui a découvert la faille et l’a signalée pour la première fois, a déclaré que l’intrusion avait commencé le 19 août ou avant. eux à ce qui s’est passé. »
Dans une divulgation publiée après la mise en ligne de l’avis Sansec, FishPig a déclaré que les intrus avaient utilisé leur accès pour injecter du code PHP malveillant dans un fichier Helper/License.php inclus dans la plupart des extensions FishPig. Après le lancement, Rekoobe supprime tous les fichiers malveillants du disque et s’exécute uniquement en mémoire. Pour plus de discrétion, il se cache sous la forme d’un processus système qui tente d’imiter l’un des éléments suivants :
/usr/sbin/cron -f
/sbin/udevd -d
Crond
audité
/usr/sbin/rsyslogd
/usr/sbin/atd
/usr/sbin/acpid
dbus-daemon –system
/sbin/init
/usr/sbin/chronyd
/usr/libexec/postfix/master
/usr/lib/packagekit/packagekitd
La porte dérobée attend alors les commandes d’un serveur situé au 46.183.217.2. Sansec a déclaré qu’il n’avait pas encore détecté d’abus de suivi de la part du serveur. L’entreprise de sécurité soupçonne que les acteurs de la menace envisagent de vendre en masse l’accès aux magasins concernés sur des forums de piratage.
Tideswell a refusé de dire combien d’installations actives de son logiciel payant il y a. Ce message indique que le logiciel a reçu plus de 200 000 téléchargements, mais le nombre de clients payants est plus petit.
Dans l’e-mail, Tideswell a ajouté :
L’exploit a été placé juste avant que le code ne soit crypté. En plaçant le code malveillant ici, il serait instantanément obscurci par nos systèmes et caché à quiconque le regarderait. Si un client s’enquérait alors du fichier obscurci, nous le rassurerions sur le fait que le fichier était censé être obscurci et qu’il était sûr. Le fichier était alors indétectable par les scanners de logiciels malveillants.
Il s’agit d’un système personnalisé que nous avons développé. Les attaquants n’auraient pas pu faire de recherches en ligne pour en savoir plus. Une fois à l’intérieur, ils doivent avoir examiné le code et pris une décision sur l’endroit où déployer leur attaque. Ils ont bien choisi.
Tout cela a été nettoyé maintenant et plusieurs nouvelles défenses ont été installées pour empêcher que cela ne se reproduise. De toute façon, nous sommes actuellement en train de reconstruire l’intégralité de notre site Web et de nos systèmes de déploiement de code, et les nouveaux systèmes que nous avons déjà en place (qui ne sont pas encore opérationnels) disposent déjà de défenses contre les attaques de ce type.
Sansec et FishPig ont déclaré que les clients doivent supposer que tous les modules ou extensions sont infectés. FishPig recommande aux utilisateurs de mettre immédiatement à niveau tous les modules FishPig ou de les réinstaller à partir de la source pour s’assurer qu’il ne reste aucun code infecté. Les étapes spécifiques comprennent :
Réinstaller les extensions FishPig (conserver les versions)
rm -rf fournisseur/fishpig && composer clear-cache && composer install –no-cache
Mettre à niveau les extensions FishPig
rm -rf fournisseur/fishpig && composer clear-cache && composer update fishpig/* –no-cache
Supprimer le fichier cheval de Troie
Exécutez la commande ci-dessous, puis redémarrez votre serveur.
rm -rf /tmp/.varnish7684
Sansec a conseillé aux clients de désactiver temporairement toutes les extensions FishPig payantes, d’exécuter un scanner de logiciels malveillants côté serveur pour détecter tout logiciel malveillant installé ou toute activité non autorisée, puis de redémarrer le serveur pour mettre fin à tout processus d’arrière-plan non autorisé.
Le titre de ce message a été modifié.