Six millions de pages Web ont été piégées par des logiciels malveillants, utilisant des failles de sécurité dans des logiciels que des centaines de milliers de sites Web de commerce électronique utilisent pour traiter les transactions par carte de crédit et de débit.
Entreprise de sécurité Web Armoriser a déclaré avoir détecté plus de six millions de pages Web contenant des kits d’attaque conçus pour exploiter les vulnérabilités des navigateurs Web et implanter des logiciels malveillants. La société a déclaré que les sites piratés semblaient exécuter des versions obsolètes et non sécurisées de osCommerceun programme de panier d’achat de commerce électronique populaire auprès des magasins en ligne.
Armorize a déclaré que les pages compromises martèlent le navigateur d’un visiteur avec des exploits qui ciblent au moins cinq vulnérabilités de plug-in de navigateur Web, dont deux failles dans Javaune paire de les fenêtres bugs, et une faille de sécurité dans Adobec’est Lecteur PDF. Des correctifs sont disponibles pour toutes les vulnérabilités de navigateur ciblées.
Selon Armorize, le malware cible les sites Web d’osCommerce et exploite plusieurs vulnérabilités d’osCommerce : OsCommerce Remote Edit Site Info Vulnérabilité (communiqué le 10 juillet 2011) ; osCommerce 2.3.1 banner_manager.php Vulnérabilité de téléchargement de fichiers à distance (communiqué le 14 mai 2011); et OsCommerce Online Merchant v2.2 Divulgation de fichiers et contournement administrateur(communiqué le 30 mai 2010).
Plus tôt cette année, j’ai écrit un long morceau pour Secureview de Kaspersky magazine à ce sujet : L’article avertissait que les criminels utilisaient les vulnérabilités d’osCommerce pour détourner des dizaines de milliers de sites Web qui ont ensuite été utilisés pour relayer les courriers indésirables et héberger des escroqueries par hameçonnage. Si vous exploitez un site qui utilise osCommerce, veuillez prendre un moment pour vous assurer que votre logiciel de panier d’achat est à jour. L’Armorize article de blog répertorie plusieurs façons de savoir si votre site a été piraté. Un tutoriel pratique sur la sécurisation des applications osCcommerce est disponible ici.