Abo
  • Services:
Anzeige
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen.
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen. (Bild: Check Point)

Ebay: Magento-Shops stehen Angreifern offen

Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen.
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen. (Bild: Check Point)

Eine kritische Sicherheitslücke in der aktuellen Version von Magento erlaubt Angreifern das Ausführen von beliebigem PHP-Code. Sorgen macht der unprofessionelle Umgang des Herstellers mit der Lücke.

Anzeige

Die Firma Check Point hat vor einigen Tagen in ihrem Blog einen ausführlichen Bericht über mehrere Sicherheitslücken in der Online-Shopping-Software Magento veröffentlicht. Den Forschern von Check Point gelang es dabei, durch das Zusammenspiel von verschiedenen Sicherheitslücken eine Magento-Installation komplett zu übernehmen.

Magento ist ein in PHP geschriebener Onlineshop. Eine kostenlose Version wird als Community Edition unter einer freien Lizenz angeboten. Magento wurde vor einigen Jahren von Ebay übernommen.

Patch seit Februar, aber keine neue Version

Check Point hatte bereits im Januar die Entwickler von Magento auf die Lücken hingewiesen. Im Februar wurde dann ein Patch veröffentlicht, der auf der Magento-Seite heruntergeladen werden kann. Vor wenigen Tagen dann veröffentlichte Check Point sämtliche Details zu den verschiedenen Sicherheitslücken, welche die IDs CVE-2015-1397, CVE-2015-1398 und CVE-2015-1399 erhalten haben.

Der Softwareentwickler Matthias Geniar weist in seinem Blog darauf hin, dass die aktuelle Community-Edition von Magento den Patch noch nicht enthält. Wer die Downloadseite von Magento aufruft, dem wird zunächst der Download der aktuellen Version 1.9.1.0 angeboten. Einen Hinweis darauf, dass diese Version eine extrem kritische Sicherheitslücke enthält, gibt es nicht.

Deutlich weiter unten auf der Seite befinden sich einige Patches, von denen der erste mit der Kennung SUPEE-5344 die von Check Point entdeckten Sicherheitslücken behebt. Die meisten Nutzer, die nichts von der aktuellen Sicherheitslücke wissen, würden vermutlich einfach die aktuelle Version herunterladen und den unscheinbar angebotenen Patch ignorieren.

Sämtliche Downloads von Magento sind nur zugänglich, wenn man einen Account auf der Seite besitzt und sich einloggt. Eine zusätzliche Hürde, die es umständlich macht, den kritischen Patch zu erhalten, weshalb Matthias Geniar ihn selbst zum Download bereitgestellt hat.

Lücke wird bereits aktiv ausgenutzt

Laut einem Bericht der Firma Sucuri, der der Lücke passenderweise den Namen Shoplift gegeben hat, wird das Problem in Magento bereits aktiv ausgenutzt. Demnach beobachtete Sucuri Angriffe, die von russischen IP-Adressen ausgingen und zusätzliche Admin-User in bestehende Magento-Installationen einfügten. Benutzt wurden dabei die Nutzernamen vpwq und defaultmanager.

Magento-Nutzer können ihre Installation auf diese Nutzernamen prüfen. Das hilft aber nur, um diese speziellen Angriffe zu entdecken, denn ein anderer Angreifer könnte andere Nutzernamen verwenden oder die Lücken in anderer Weise ausnutzen.

Neben der Ausführung von bösartigem Code kann ein Angreifer auch nach Belieben Informationen aus der Datenbank des Shops extrahieren. Sämtliche Kundendaten, Bestellungen und auch Zahlungsinformationen wie Kontonummern und Kreditkartendaten stehen dem Angreifer offen.

Verkettung von mehreren Sicherheitslücken

Bemerkenswert ist die Komplexität des Angriffs von Check Point. Hierbei wurde eine ganze Reihe von unterschiedlichen Sicherheitslücken miteinander verkettet. Zunächst stellten die Check-Point-Forscher fest, dass Magento bei der Prüfung von Nutzer- und Adminrechten schlampte. Es gelang ihnen, bestimmte Funktionen in Modulen, die eigentlich nur angemeldeten Nutzern zur Verfügung stehen sollten, ohne Anmeldung zu nutzen. Weiterhin ließen sich die Rechte für bestimmte Module auf Admin-Privilegien ausweiten.

Anschließend fand sich eine so ausnutzbare SQL-Injection, die durch eine fehlerhafte Filterung der Daten in einem CSV-Export-Modul entstand. Durch eine geschickte Ausnutzung einer Phar-Datei, einem Format, um PHP-Skripte gepackt abzulegen, gelang letztendlich die Ausführung von bösartigem PHP-Code.

Klar macht ein solcher Angriff, dass auch Sicherheitslücken, die isoliert betrachtet nicht extrem kritisch erscheinen, in ihrer Summe eine problematische Sicherheitslücke darstellen können.


eye home zur Startseite
irata 26. Apr 2015

Hä? Und wieso sind die Patches (es sind zwei) dann auf der offiziellen Magento-Seite? Im...



Anzeige

Stellenmarkt
  1. Zühlke Engineering GmbH, Eschborn (bei Frankfurt am Main), München, Hannover, Hamburg
  2. über 3C - Career Consulting Company GmbH, deutschlandweit (Home-Office)
  3. MBtech Group GmbH & Co. KGaA, Mannheim, Sindelfingen, Stuttgart, Ulm, Neu-Ulm
  4. CERATIZIT Deutschland GmbH, Empfingen


Anzeige
Top-Angebote
  1. (u. a. Xbox One S + 2. Controller + 4 Spiele für 319,00€, SanDisk 32-GB-USB3.0-Stick 9,00€ u...
  2. (heute Box-Sets reduziert u. a. Zurück in die Zukunft Trilogie 12,97€, Mission Impossible 1-5...
  3. 129,90€ inkl. Versand (Vergleichspreis ca. 148€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. PSX 2016

    Sony hat The Last of Us 2 angekündigt

  2. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  3. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  4. Raumfahrt

    Europa bleibt im All

  5. Nationale Sicherheit

    Obama verhindert Aixtron-Verkauf nach China

  6. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast

  7. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  8. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  9. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  10. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  2. Pornoseite Xhamster spricht von Fake-Leak
  3. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert

Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

  1. Re: Schande

    sfe (Golem.de) | 00:57

  2. Re: Inhaltlich falsch - leider

    teenriot* | 00:41

  3. Von Windvd gibt es auch eine neue Version mit 4K...

    Markus_T_witter | 00:34

  4. Re: Port umlenken

    Apfelbrot | 00:31

  5. Re: hä? gericht wieder einmal weltfremd?

    lear | 00:30


  1. 00:03

  2. 15:33

  3. 14:43

  4. 13:37

  5. 11:12

  6. 09:02

  7. 18:27

  8. 18:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel