Pas de pause estivale pour les pirates ! Une vague d’attaques massive aurait à ce jour compromis près de quatre millions de pages web sur des sites fonctionnant avec la boutique en ligne libre OsCommerce.

Selon la société Armorize, qui publie une analyse de ces attaques, les pirates exploiteraient au moins trois vulnérabilités connues dans OsCommerce, toute relativement récentes car révélées entre mai et juillet de cette année.

La cible des pirates n’est toutefois pas les sites de commerce en ligne eux-même : ce sont avant tout leurs clients ! Les attaquants installent installent en effet sur chaque site un kit de piratage dans une iframe afin d’exploiter plusieurs vulnérabilités sur les navigateurs des visiteurs (pour Java, PDF et Internet Explorer notamment).

Une fois le navigateur compromis, le code malveillant installé appartient à la famille Zeus, un malware bien connu et très populaire parmi les criminels. Hier encore, la version distribuée par les pirates n’était que très peu reconnue par les antivirus du marché (11,6% de taux de détection). La situation s’améliore cependant aujourd’hui avec un peu plus de 30% de détection… bien entendu jusqu’à ce que les pirates changent légèrement leur malware !

Si vous exploitez un site sous OsCommerce nous vous recommandons la lecture de la section « remediation » de l’article publié par Armorize. Car non seulement une mise à jour de votre plateforme OsCommerce s’impose, mais il faudra également s’assurer au préalable que vous n’avez pas été compromis.

Comme souvent lors de telles attaques il est difficile d’en connaître la source. Seule certitude : les attaquants, dont on ignore l’origine, utilisent des adresses IP Ukrainiennes, et se exploitent des serveur situés en Russie pour héberger leur malware.

> les trois vulnérabilités exploitées :
osCommerce Remote Edit Site Info Vulnerability
osCommerce 2.3.1 (banner_manager.php) Remote File Upload Vulnerability
oscommerce Online Merchant v2.2 File Disclosure And Admin ByPass