Abo
  • Services:
Anzeige
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen.
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen. (Bild: Check Point)

Ebay: Magento-Shops stehen Angreifern offen

Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen.
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen. (Bild: Check Point)

Eine kritische Sicherheitslücke in der aktuellen Version von Magento erlaubt Angreifern das Ausführen von beliebigem PHP-Code. Sorgen macht der unprofessionelle Umgang des Herstellers mit der Lücke.

Die Firma Check Point hat vor einigen Tagen in ihrem Blog einen ausführlichen Bericht über mehrere Sicherheitslücken in der Online-Shopping-Software Magento veröffentlicht. Den Forschern von Check Point gelang es dabei, durch das Zusammenspiel von verschiedenen Sicherheitslücken eine Magento-Installation komplett zu übernehmen.

Anzeige

Magento ist ein in PHP geschriebener Onlineshop. Eine kostenlose Version wird als Community Edition unter einer freien Lizenz angeboten. Magento wurde vor einigen Jahren von Ebay übernommen.

Patch seit Februar, aber keine neue Version

Check Point hatte bereits im Januar die Entwickler von Magento auf die Lücken hingewiesen. Im Februar wurde dann ein Patch veröffentlicht, der auf der Magento-Seite heruntergeladen werden kann. Vor wenigen Tagen dann veröffentlichte Check Point sämtliche Details zu den verschiedenen Sicherheitslücken, welche die IDs CVE-2015-1397, CVE-2015-1398 und CVE-2015-1399 erhalten haben.

Der Softwareentwickler Matthias Geniar weist in seinem Blog darauf hin, dass die aktuelle Community-Edition von Magento den Patch noch nicht enthält. Wer die Downloadseite von Magento aufruft, dem wird zunächst der Download der aktuellen Version 1.9.1.0 angeboten. Einen Hinweis darauf, dass diese Version eine extrem kritische Sicherheitslücke enthält, gibt es nicht.

Deutlich weiter unten auf der Seite befinden sich einige Patches, von denen der erste mit der Kennung SUPEE-5344 die von Check Point entdeckten Sicherheitslücken behebt. Die meisten Nutzer, die nichts von der aktuellen Sicherheitslücke wissen, würden vermutlich einfach die aktuelle Version herunterladen und den unscheinbar angebotenen Patch ignorieren.

Sämtliche Downloads von Magento sind nur zugänglich, wenn man einen Account auf der Seite besitzt und sich einloggt. Eine zusätzliche Hürde, die es umständlich macht, den kritischen Patch zu erhalten, weshalb Matthias Geniar ihn selbst zum Download bereitgestellt hat.

Lücke wird bereits aktiv ausgenutzt

Laut einem Bericht der Firma Sucuri, der der Lücke passenderweise den Namen Shoplift gegeben hat, wird das Problem in Magento bereits aktiv ausgenutzt. Demnach beobachtete Sucuri Angriffe, die von russischen IP-Adressen ausgingen und zusätzliche Admin-User in bestehende Magento-Installationen einfügten. Benutzt wurden dabei die Nutzernamen vpwq und defaultmanager.

Magento-Nutzer können ihre Installation auf diese Nutzernamen prüfen. Das hilft aber nur, um diese speziellen Angriffe zu entdecken, denn ein anderer Angreifer könnte andere Nutzernamen verwenden oder die Lücken in anderer Weise ausnutzen.

Neben der Ausführung von bösartigem Code kann ein Angreifer auch nach Belieben Informationen aus der Datenbank des Shops extrahieren. Sämtliche Kundendaten, Bestellungen und auch Zahlungsinformationen wie Kontonummern und Kreditkartendaten stehen dem Angreifer offen.

Verkettung von mehreren Sicherheitslücken

Bemerkenswert ist die Komplexität des Angriffs von Check Point. Hierbei wurde eine ganze Reihe von unterschiedlichen Sicherheitslücken miteinander verkettet. Zunächst stellten die Check-Point-Forscher fest, dass Magento bei der Prüfung von Nutzer- und Adminrechten schlampte. Es gelang ihnen, bestimmte Funktionen in Modulen, die eigentlich nur angemeldeten Nutzern zur Verfügung stehen sollten, ohne Anmeldung zu nutzen. Weiterhin ließen sich die Rechte für bestimmte Module auf Admin-Privilegien ausweiten.

Anschließend fand sich eine so ausnutzbare SQL-Injection, die durch eine fehlerhafte Filterung der Daten in einem CSV-Export-Modul entstand. Durch eine geschickte Ausnutzung einer Phar-Datei, einem Format, um PHP-Skripte gepackt abzulegen, gelang letztendlich die Ausführung von bösartigem PHP-Code.

Klar macht ein solcher Angriff, dass auch Sicherheitslücken, die isoliert betrachtet nicht extrem kritisch erscheinen, in ihrer Summe eine problematische Sicherheitslücke darstellen können.


eye home zur Startseite
irata 26. Apr 2015

Hä? Und wieso sind die Patches (es sind zwei) dann auf der offiziellen Magento-Seite? Im...



Anzeige

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. Bertrandt Services GmbH, Hannover
  3. msg DAVID GmbH, Braunschweig
  4. DIEBOLD NIXDORF, Berlin


Anzeige
Blu-ray-Angebote
  1. (u. a. Game of Thrones, Big Bang Theory, The Vampire Diaries, Supernatural)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Konami

    Metal Gear Survive und Bildraten für Überlebenskünstler

  2. Markenrecht

    Microsoft entfernt App von Windows Area aus Store

  3. Arbeitsgericht

    Google durfte Entwickler wegen sexistischen Memos entlassen

  4. Spielzeug

    Laser Tag mit Harry-Potter-Zauberstäben

  5. Age of Empires Definitive Edition Test

    Trotz neuen Looks zu rückständig

  6. Axel Voss

    "Das Leistungsschutzrecht ist nicht die beste Idee"

  7. Bayern

    Kostenloses WLAN auf Autobahnrastplätzen freigeschaltet

  8. Waymo

    Robotaxis sollen 2018 in kommerziellen Betrieb gehen

  9. Glasfaserkabel zerstört

    Zehntausende Haushalte in Berlin ohne Telefon und Internet

  10. US-Gerichtsurteil

    Einbetten von Tweets kann Urheberrecht verletzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Hightech im Haushalt: Der Bügel-Battle fällt leider aus
Hightech im Haushalt
Der Bügel-Battle fällt leider aus
  1. Smart Home Hardwareteams von Nest und Google werden zusammengeführt
  2. Lingufino Sprachgesteuerter Kobold kuschelt auch mit Datenschützern
  3. Apple Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

Kingdom Come Deliverance im Test: Mittelalter, Speicherschnaps und klirrende Klingen
Kingdom Come Deliverance im Test
Mittelalter, Speicherschnaps und klirrende Klingen
  1. Kingdom Come Deliverance Von unendlich viel Rettungsschnaps und dem Ninja-Ritter
  2. Kingdom Come Deliverance Auf der Xbox One X wird das Mittelalter am schönsten
  3. Kingdom Come Deliverance angespielt Und täglich grüßt das Mittelalter

Chargery: 150 Kilo Watt auf drei Rädern
Chargery
150 Kilo Watt auf drei Rädern
  1. Elektromobilität China subventioniert Elektroautos mit großer Reichweite
  2. Elektromobilität Dyson entwickelt drei Elektroautos
  3. Elektromobilität SPD will höhere Kaufprämie für Elektro-Taxis und Lieferwagen

  1. Re: Sehe hier keine große Erfolgschance

    chefin | 10:49

  2. Re: Freie Meinungsäußerung

    Dino13 | 10:49

  3. Re: Klare Kaufempfehlung

    PatFoster | 10:49

  4. Sind die nicht etwas spät dran?

    M.P. | 10:48

  5. Re: Cyborg?

    Kein Kostverächter | 10:47


  1. 10:58

  2. 10:28

  3. 10:13

  4. 09:42

  5. 09:01

  6. 07:05

  7. 06:36

  8. 06:24


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel