Abo
  • Services:
Anzeige
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen.
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen. (Bild: Check Point)

Ebay: Magento-Shops stehen Angreifern offen

Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen.
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen. (Bild: Check Point)

Eine kritische Sicherheitslücke in der aktuellen Version von Magento erlaubt Angreifern das Ausführen von beliebigem PHP-Code. Sorgen macht der unprofessionelle Umgang des Herstellers mit der Lücke.

Anzeige

Die Firma Check Point hat vor einigen Tagen in ihrem Blog einen ausführlichen Bericht über mehrere Sicherheitslücken in der Online-Shopping-Software Magento veröffentlicht. Den Forschern von Check Point gelang es dabei, durch das Zusammenspiel von verschiedenen Sicherheitslücken eine Magento-Installation komplett zu übernehmen.

Magento ist ein in PHP geschriebener Onlineshop. Eine kostenlose Version wird als Community Edition unter einer freien Lizenz angeboten. Magento wurde vor einigen Jahren von Ebay übernommen.

Patch seit Februar, aber keine neue Version

Check Point hatte bereits im Januar die Entwickler von Magento auf die Lücken hingewiesen. Im Februar wurde dann ein Patch veröffentlicht, der auf der Magento-Seite heruntergeladen werden kann. Vor wenigen Tagen dann veröffentlichte Check Point sämtliche Details zu den verschiedenen Sicherheitslücken, welche die IDs CVE-2015-1397, CVE-2015-1398 und CVE-2015-1399 erhalten haben.

Der Softwareentwickler Matthias Geniar weist in seinem Blog darauf hin, dass die aktuelle Community-Edition von Magento den Patch noch nicht enthält. Wer die Downloadseite von Magento aufruft, dem wird zunächst der Download der aktuellen Version 1.9.1.0 angeboten. Einen Hinweis darauf, dass diese Version eine extrem kritische Sicherheitslücke enthält, gibt es nicht.

Deutlich weiter unten auf der Seite befinden sich einige Patches, von denen der erste mit der Kennung SUPEE-5344 die von Check Point entdeckten Sicherheitslücken behebt. Die meisten Nutzer, die nichts von der aktuellen Sicherheitslücke wissen, würden vermutlich einfach die aktuelle Version herunterladen und den unscheinbar angebotenen Patch ignorieren.

Sämtliche Downloads von Magento sind nur zugänglich, wenn man einen Account auf der Seite besitzt und sich einloggt. Eine zusätzliche Hürde, die es umständlich macht, den kritischen Patch zu erhalten, weshalb Matthias Geniar ihn selbst zum Download bereitgestellt hat.

Lücke wird bereits aktiv ausgenutzt

Laut einem Bericht der Firma Sucuri, der der Lücke passenderweise den Namen Shoplift gegeben hat, wird das Problem in Magento bereits aktiv ausgenutzt. Demnach beobachtete Sucuri Angriffe, die von russischen IP-Adressen ausgingen und zusätzliche Admin-User in bestehende Magento-Installationen einfügten. Benutzt wurden dabei die Nutzernamen vpwq und defaultmanager.

Magento-Nutzer können ihre Installation auf diese Nutzernamen prüfen. Das hilft aber nur, um diese speziellen Angriffe zu entdecken, denn ein anderer Angreifer könnte andere Nutzernamen verwenden oder die Lücken in anderer Weise ausnutzen.

Neben der Ausführung von bösartigem Code kann ein Angreifer auch nach Belieben Informationen aus der Datenbank des Shops extrahieren. Sämtliche Kundendaten, Bestellungen und auch Zahlungsinformationen wie Kontonummern und Kreditkartendaten stehen dem Angreifer offen.

Verkettung von mehreren Sicherheitslücken

Bemerkenswert ist die Komplexität des Angriffs von Check Point. Hierbei wurde eine ganze Reihe von unterschiedlichen Sicherheitslücken miteinander verkettet. Zunächst stellten die Check-Point-Forscher fest, dass Magento bei der Prüfung von Nutzer- und Adminrechten schlampte. Es gelang ihnen, bestimmte Funktionen in Modulen, die eigentlich nur angemeldeten Nutzern zur Verfügung stehen sollten, ohne Anmeldung zu nutzen. Weiterhin ließen sich die Rechte für bestimmte Module auf Admin-Privilegien ausweiten.

Anschließend fand sich eine so ausnutzbare SQL-Injection, die durch eine fehlerhafte Filterung der Daten in einem CSV-Export-Modul entstand. Durch eine geschickte Ausnutzung einer Phar-Datei, einem Format, um PHP-Skripte gepackt abzulegen, gelang letztendlich die Ausführung von bösartigem PHP-Code.

Klar macht ein solcher Angriff, dass auch Sicherheitslücken, die isoliert betrachtet nicht extrem kritisch erscheinen, in ihrer Summe eine problematische Sicherheitslücke darstellen können.


eye home zur Startseite
irata 26. Apr 2015

Hä? Und wieso sind die Patches (es sind zwei) dann auf der offiziellen Magento-Seite? Im...



Anzeige

Stellenmarkt
  1. Chemnitzer Verlag und Druck GmbH & Co. KG, Chemnitz
  2. LogControl GmbH, Karlsruhe und Pforzheim
  3. MBDA Deutschland, Schrobenhausen
  4. Robert Bosch GmbH, Schwieberdingen


Anzeige
Spiele-Angebote
  1. 24,96€
  2. 54,85€
  3. 699,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Apple

    iPhone-Event findet am 7. September 2016 statt

  2. Fitbit

    Ausatmen mit dem Charge 2

  3. Sony

    Playstation 4 Slim bietet 5-GHz-WLAN

  4. Exploits

    Treiber der Android-Hersteller verursachen Kernel-Lücken

  5. Nike+

    Social-Media-Wirrwarr statt "Just do it"

  6. OxygenOS vs. Cyanogenmod im Test

    Ein Oneplus Three, zwei Systeme

  7. ProSiebenSat.1

    Sechs neue Apps mit kostenlosem Live-Streaming

  8. Raumfahrt

    Juno überfliegt Jupiter in geringer Distanz

  9. Epic Loot

    Ubisoft schließt sechs größere Free-to-Play-Spiele

  10. Smart Home

    Philips-Hue-Bewegungsmelder und neue Leuchten angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
­Cybersyn: Chiles Traum von der computergesteuerten Planwirtschaft
­Cybersyn
Chiles Traum von der computergesteuerten Planwirtschaft
  1. Linux Kernel-Sicherheitsinitiative wächst "langsam aber stetig"
  2. Power9 IBMs 24-Kern-Chip kann 8 TByte RAM pro Sockel nutzen
  3. Adecco IBM will Helpdesk-Geschäft in Erfurt und Leipzig loswerden

Thinkpad X1 Carbon 2013 vs 2016: Drei Jahre, zwei Ultrabooks, eine Erkenntnis
Thinkpad X1 Carbon 2013 vs 2016
Drei Jahre, zwei Ultrabooks, eine Erkenntnis
  1. Huawei Matebook im Test Guter Laptop-Ersatz mit zu starker Konkurrenz
  2. iPad Pro Case Razer zeigt flache mechanische Switches
  3. Thinkpwn Lenovo warnt vor mysteriöser Bios-Schwachstelle

Asus PG248Q im Test: 180 Hertz erkannt, 180 Hertz gebannt
Asus PG248Q im Test
180 Hertz erkannt, 180 Hertz gebannt
  1. Raspberry Pi 3 Booten über USB oder per Ethernet
  2. Autonomes Fahren Mercedes stoppt Werbespot wegen überzogener Versprechen
  3. Radeon RX 480 Dank DX12 und Vulkan reicht auch eine Mittelklasse-CPU

  1. wer vernünftig zocken will...

    Prinzeumel | 23:17

  2. Re: Wahrscheinlich sind Windowstreiber mindestens...

    aFrI | 23:14

  3. Re: Die werden ihn wohl ausliefern

    Danijoo | 23:11

  4. Re: Mir sind die Sicherheitslücken mittlerweile egal.

    HelpbotDeluxe | 23:08

  5. Sommerloch² && schnellere Datenübertragung??

    HerrMannelig | 23:01


  1. 22:34

  2. 18:16

  3. 16:26

  4. 14:08

  5. 12:30

  6. 12:02

  7. 12:00

  8. 11:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel