Une brèche récente chez le fournisseur de logiciels de facturation et d’assistance WHMCS qui a exposé un demi-million de noms d’utilisateur, de mots de passe et, dans certains cas, de cartes de crédit, peut s’avérer être le cadet des soucis de l’entreprise. Selon les informations obtenues par BreachTrace.com, au cours des quatre derniers mois, les pirates ont vendu une faille zero-day exclusive qui, selon eux, permet aux intrus de s’introduire dans les sociétés d’hébergement Web qui s’appuient sur le logiciel.
WHMCS est une suite de logiciels de facturation et de support utilisée principalement par les fournisseurs d’hébergement Web. Après une longue période d’indisponibilité lundi, la société de logiciels britannique privée a révélé que des pirates informatiques avaient pénétré par effraction et volé 1,7 gigaoctets de données clients, et supprimé un arriéré de commandes, de tickets et d’autres fichiers du serveur de la société.
Le fondateur de l’entreprise, Matt Pouga publié une déclaration indiquant que l’entreprise avait été victime d’une attaque d’ingénierie sociale dans laquelle un mécréant a pu se faire passer pour Pugh auprès du propre fournisseur d’hébergement Web de WHMCS et inciter le fournisseur à renoncer aux informations d’identification administratives de WHMCS.
« Après une première enquête, je peux signaler que ce qui s’est passé aujourd’hui était le résultat d’une attaque d’ingénierie sociale », a déclaré Pugh. a écrit. « La personne a pu se faire passer pour notre société d’hébergement Web et fournir des réponses correctes à ses questions de vérification. Et ainsi accéder à notre compte client auprès de l’hôte, et finalement changer l’e-mail, puis demander un envoi des détails d’accès.
Pendant ce temps, les forums d’utilisateurs de WHMCS ont été et restent sous une attaque par déni de service constante, et la société exhorte les clients à changer leurs mots de passe.
Aussi mauvaise que soit la situation actuelle pour WHMCS, cet incident plutôt public n’est peut-être qu’une partie des problèmes de sécurité de l’entreprise. Pendant plusieurs années, j’ai été un invité indésirable sur un forum clandestin exclusif que je considère comme l’un des rares forums de piratage restants et révélateurs sur l’Underweb aujourd’hui. J’ai été expulsé plusieurs fois, c’est pourquoi je ne poste pas de captures d’écran du forum ici.
Mise à jour, 29 mai, 12 h 35 HE : WHMCS vient de publier un correctif pour corriger une vulnérabilité d’injection SQL qui pourrait être liée à ce 0day. Voir ce fil de Pugh pour plus d’informations.
Message d’origine :
En février, un membre de confiance et vérifié de ce forum a publié un fil de discussion intitulé « WHMCS 0-day », affirmant qu’il vendait une vulnérabilité de sécurité critique non documentée et non corrigée dans toutes les versions de WHMCS qui fournit un accès direct au mot de passe de l’administrateur. Du fil de vente de ce hacker [link added]:
« Aucun correctif pour cela jusqu’à présent, la vulnérabilité est un problème complet injection SQL aveugle découvert par moi. A écrit un exploit pour cela qui fonctionne à partir de la ligne de commande qui extrait le hachage admin de [database]. Pas besoin de décoder le hachage md5, vous pouvez vous connecter directement avec de faux cookies. 🙂
Peut également fournir 3 méthodes pour télécharger le shell à partir du panneau whmcs après la connexion en tant qu’administrateur.
vendra l’exploit à maximum 3 acquéreurs.
-Prix : 6 000 USD
-Méthode de paiement : LR [Liberty Reserve]”
Selon ce pirate informatique, WHMCS ne valide pas correctement les entrées fournies par les utilisateurs. En conséquence, un attaquant qui savait comment exploiter ce bogue pourrait forcer une installation WHMCS à cracher les informations d’identification nécessaires pour l’administrer. Le vendeur offre également aux acheteurs un moyen simple de maintenir un accès à distance aux installations WHMCS compromises via un navigateur Web.
J’ai contacté WHMCS pour obtenir des commentaires et je mettrai à jour ce message au cas où j’aurais des nouvelles de leur part. Je prends WHMCS au mot sur la source de leur violation, mais il va sans dire que cette vulnérabilité aurait pu offrir aux attaquants un autre moyen d’entrer (en supposant que l’entreprise s’appuie sur son propre logiciel de facturation et de support).
Juste une petite note sur une partie de la couverture médiatique que j’ai vue sur l’histoire plus large de la brèche. Certains rapports ont qualifié WHMCS de « fournisseur de facturation cloud », mais il ne semble pas que WHMCS propose exactement une solution hébergée de leur produit. Pour autant que je sache, la société vend son logiciel moyennant des frais uniques (avec des frais de mise à jour annuels) ou des frais de location mensuels. Ils semblent s’associer à d’autres entreprises pour leur fournir des licences de revente, et dans ces cas, le support peut avoir été géré par WHMCS. Dans ce cas, le logiciel appellerait chez lui un serveur de licences, et ces clients pourraient avoir été parmi les plus durement touchés par cette attaque.
Il existe des fils de discussion longs et intéressants à ce sujet directement des utilisateurs du logiciel, à webhostingtalk.com et lowendtalk.com. De nombreux utilisateurs semblent s’inquiéter du fait que les données volées lors de la violation désormais publique peuvent inclure des données client directes WHMCS, ainsi que l’emplacement du logiciel installé et des données de carte de crédit, ainsi que des mots de passe pour les installations WHMCS qu’ils ont effectuées ou fournies lors du dépannage. .
Selon un utilisateur que j’ai interviewé mais qui a demandé à ne pas être cité nommément, le plus gros problème du logiciel est qu’il stocke la clé de déchiffrement dans son fichier de configuration. « Ainsi, toute passerelle de facturation qui n’utilise pas la tokenisation aurait les numéros de carte de crédit stockés dans la base de données MySQL, cryptés avec la clé », a déclaré l’utilisateur.