Une vulnérabilité localisée dans l’outil PHP Adminer servant à administrer différentes bases de données, dont MySQL et PostgreSQL, permet à des attaquants de récupérer des données - ou d'en injecter - sur des sites web ou des sites de e-commerce utilisant des bases open source. La faille est associée à la commande Load Data de MySQL. L’information a été d’abord rapportée par le site Security Boulevard. Plusieurs autres sites, dont BleepingComputer, et chercheurs en sécurité l’ont ensuite commentée et détaillée, notamment sur Reddit.

La faille peut être exploitée pour accéder aux données sur lesquelles un client a des droits en lecture lors d’une interaction entre ce client et un serveur MySQL ayant été configuré pour accepter les connexions à des serveurs non fiables. La documentation de MySQL mentionne d’ailleurs les risques liés à l’utilisation de Load Data associé au mot-clé Local sur le poste client. Un attaquant peut en effet utiliser le serveur malveillant pour faire une réponse de type Load Data Local et demander n’importe quel fichier sur lequel le client a un accès autorisé en lecture. 

Exploitée pour les attaques Magecart sur les paiements en ligne

Selon le chercheur Willem de Groot qui est intervenu sur la discussion Reddit le 20 janvier, c’est cette faille qui aurait été exploitée par le groupe d’attaquants Magecart pour intercepter des transactions de paiement sur différents sites par l’insertion d’un code. Les attaques Magecart répertoriées ont notamment touché British Airways, Ticketmaster Entertainment ou Cathay Pacific Airways. Pour Willem de Groot, celles intervenues en octobre 2018 seraient passées par cette faille (màj).

Dans un billet, publié il y a quelques jours, le chercheur décrit les différentes étapes qui permettent aux attaquants de procéder en s’appuyant sur l’outil Adminer, très utilisé parmi les administrateurs de différentes bases de données. « Les attaquants peuvent l’abuser pour aller chercher des mots de passe sur des applications populaires comme Magento et Wordpress, et prendre le contrôle de la base de données du site », écrit-il en détaillant la façon dont ils procèdent. « J’ai testé Adminer versions 4.3.1 à 4.6.2 et les ai toutes trouvées vulnérables. Adminer 4.6.3 a été livré en juin 2018 et il semble sain ». Il ajoute qu’il n’apparaît pas clairement si la faille de sécurité a été corrigée volontairement ou par hasard, Adminer n’ayant pas communiqué sur une mise à jour de sécurité.

Màj : cet article a été mis à jour, le titre d'origine pouvant laisser croire, à tort, que la faille se situait dans MySQL, ce qui n'est pas le cas.