Pc-urgence Une faille MySQL expose des sites au vol de données - Pc-urgence

Une faille MySQL expose des sites au vol de données

Les attaques perpétrées par le groupe Magecart sur des transactions en ligne pourraient bien avoir exploité une faille de l’outil PHP Adminer, très utilisé par les administrateurs de base de données MySQL et PostgreSQL.

Une vulnérabilité localisée dans l’outil PHP Adminer servant à administrer les bases de données MySQL et PostgreSQL permet à des attaquants de récupérer des données – ou d’en injecter – sur des sites web ou des sites de e-commerce utilisant les bases de données open source. La faille est associée à la commande Load Data de MySQL. L’information a été d’abord rapportée par le site Security Boulevard. Plusieurs autres sites et chercheurs en sécurité l’ont ensuite commentée et détaillée, notamment sur Reddit.

La faille peut être exploitée pour accéder aux données sur lesquelles un client a des droits en lecture lors d’une interaction entre ce client et un serveur MySQL ayant été configuré pour accepter les connexions à des serveurs non fiables. La documentation de MySQL mentionne d’ailleurs les risques liés à l’utilisation de Load Data associé au mot-clé Local sur le poste client. Un attaquant peut en effet utiliser le serveur malveillant pour faire une réponse de type Load Data Local et demander n’importe quel fichier sur lequel le client a un accès autorisé en lecture. 

Exploitée pour les attaques Magecart sur les paiements en ligne

Selon le chercheur Willem de Groot qui est intervenu sur la discussion Reddit le 20 janvier, c’est cette faille qui a été exploitée par le groupe d’attaquants Magecart pour intercepter des transactions de paiement sur différents sites par l’insertion d’un code. Les attaques Magecart répertoriées ont notamment touché British Airways, Ticketmaster Entertainment ou Cathay Pacific Airways. Pour Willem de Groot, celles intervenues en octobre 2018 sont passées par cette faille dans MySQL.

Dans un billet, publié il y a quelques jours, le chercheur décrit les différentes étapes qui permettent aux attaquants de procéder en s’appuyant sur l’outil Adminer très utilisé parmi les administrateurs des bases MySQL et PostgreSQL. « Les attaquants peuvent l’abuser pour aller chercher des mots de passe sur des applications populaires comme Magento et WordPress, et prendre le contrôle de la base de données du site », écrit-il en détaillant la façon dont ils procèdent. « J’ai testé Adminer versions 4.3.1 à 4.6.2 et les ai toutes trouvées vulnérables. Adminer 4.6.3 a été livré en juin 2018 et il semble sain ». Il ajoute qu’il n’apparaît pas clairement si la faille de sécurité a été corrigée volontairement ou par hasard, Adminer n’ayant pas communiqué sur une mise à jour de sécurité.

Let’s block ads! (Why?)

Powered by WPeMatico

Dépannage informatique à domicile

Dépannage informatique à domicile

PC urgence, le spécialiste du dépannage informatique à domicile sur Paris et Île-de-France, jour et nuit vous bénéficiez d'un dépannage informatique sans aucun surcoût et sans frais de déplacements. Contactez-nous au 09.70.40.81.52.
Protected by Copyscape Web Plagiarism Tool

Laisser un commentaire

Vous devez être connecté pour publier un commentaire.

Rappel Gratuit

Prix:
GRATUIT

Dépannage informatique Paris et Ile de france

Dépannage informatique paris et ile de france
Prix:
89 €

Déduction - 50 %

Ouvert 24/24 Week end
border

immédiate

Assistance à Distance

Prix:
39 €

Elu Service de l'année

Prix:
2013

Déduction - 50 %

Ouvert 24/24 Week end
border

immédiate
ACCUEIL    |    ACTUALITES    |    internet    |    accessoires et logiciels    |    contact
Claude Arel Retrouvez-nous sur Google+ Google Copyright © 2010-2013 Pc-Urgence