Abo
  • Services:
Anzeige
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen.
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen. (Bild: Check Point)

Ebay: Magento-Shops stehen Angreifern offen

Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen.
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen. (Bild: Check Point)

Eine kritische Sicherheitslücke in der aktuellen Version von Magento erlaubt Angreifern das Ausführen von beliebigem PHP-Code. Sorgen macht der unprofessionelle Umgang des Herstellers mit der Lücke.

Anzeige

Die Firma Check Point hat vor einigen Tagen in ihrem Blog einen ausführlichen Bericht über mehrere Sicherheitslücken in der Online-Shopping-Software Magento veröffentlicht. Den Forschern von Check Point gelang es dabei, durch das Zusammenspiel von verschiedenen Sicherheitslücken eine Magento-Installation komplett zu übernehmen.

Magento ist ein in PHP geschriebener Onlineshop. Eine kostenlose Version wird als Community Edition unter einer freien Lizenz angeboten. Magento wurde vor einigen Jahren von Ebay übernommen.

Patch seit Februar, aber keine neue Version

Check Point hatte bereits im Januar die Entwickler von Magento auf die Lücken hingewiesen. Im Februar wurde dann ein Patch veröffentlicht, der auf der Magento-Seite heruntergeladen werden kann. Vor wenigen Tagen dann veröffentlichte Check Point sämtliche Details zu den verschiedenen Sicherheitslücken, welche die IDs CVE-2015-1397, CVE-2015-1398 und CVE-2015-1399 erhalten haben.

Der Softwareentwickler Matthias Geniar weist in seinem Blog darauf hin, dass die aktuelle Community-Edition von Magento den Patch noch nicht enthält. Wer die Downloadseite von Magento aufruft, dem wird zunächst der Download der aktuellen Version 1.9.1.0 angeboten. Einen Hinweis darauf, dass diese Version eine extrem kritische Sicherheitslücke enthält, gibt es nicht.

Deutlich weiter unten auf der Seite befinden sich einige Patches, von denen der erste mit der Kennung SUPEE-5344 die von Check Point entdeckten Sicherheitslücken behebt. Die meisten Nutzer, die nichts von der aktuellen Sicherheitslücke wissen, würden vermutlich einfach die aktuelle Version herunterladen und den unscheinbar angebotenen Patch ignorieren.

Sämtliche Downloads von Magento sind nur zugänglich, wenn man einen Account auf der Seite besitzt und sich einloggt. Eine zusätzliche Hürde, die es umständlich macht, den kritischen Patch zu erhalten, weshalb Matthias Geniar ihn selbst zum Download bereitgestellt hat.

Lücke wird bereits aktiv ausgenutzt

Laut einem Bericht der Firma Sucuri, der der Lücke passenderweise den Namen Shoplift gegeben hat, wird das Problem in Magento bereits aktiv ausgenutzt. Demnach beobachtete Sucuri Angriffe, die von russischen IP-Adressen ausgingen und zusätzliche Admin-User in bestehende Magento-Installationen einfügten. Benutzt wurden dabei die Nutzernamen vpwq und defaultmanager.

Magento-Nutzer können ihre Installation auf diese Nutzernamen prüfen. Das hilft aber nur, um diese speziellen Angriffe zu entdecken, denn ein anderer Angreifer könnte andere Nutzernamen verwenden oder die Lücken in anderer Weise ausnutzen.

Neben der Ausführung von bösartigem Code kann ein Angreifer auch nach Belieben Informationen aus der Datenbank des Shops extrahieren. Sämtliche Kundendaten, Bestellungen und auch Zahlungsinformationen wie Kontonummern und Kreditkartendaten stehen dem Angreifer offen.

Verkettung von mehreren Sicherheitslücken

Bemerkenswert ist die Komplexität des Angriffs von Check Point. Hierbei wurde eine ganze Reihe von unterschiedlichen Sicherheitslücken miteinander verkettet. Zunächst stellten die Check-Point-Forscher fest, dass Magento bei der Prüfung von Nutzer- und Adminrechten schlampte. Es gelang ihnen, bestimmte Funktionen in Modulen, die eigentlich nur angemeldeten Nutzern zur Verfügung stehen sollten, ohne Anmeldung zu nutzen. Weiterhin ließen sich die Rechte für bestimmte Module auf Admin-Privilegien ausweiten.

Anschließend fand sich eine so ausnutzbare SQL-Injection, die durch eine fehlerhafte Filterung der Daten in einem CSV-Export-Modul entstand. Durch eine geschickte Ausnutzung einer Phar-Datei, einem Format, um PHP-Skripte gepackt abzulegen, gelang letztendlich die Ausführung von bösartigem PHP-Code.

Klar macht ein solcher Angriff, dass auch Sicherheitslücken, die isoliert betrachtet nicht extrem kritisch erscheinen, in ihrer Summe eine problematische Sicherheitslücke darstellen können.


eye home zur Startseite
irata 26. Apr 2015

Hä? Und wieso sind die Patches (es sind zwei) dann auf der offiziellen Magento-Seite? Im...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Berlin, Bonn
  2. MICHELFELDER Gruppe über Baumann Unternehmensberatung AG, Raum Schramberg
  3. VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Wiesbaden
  4. über HRM CONSULTING GmbH, Konstanz (Home-Office)


Anzeige
Top-Angebote
  1. (u. a. Bose Soundlink Mini Bluetooth Speaker II 149,90€)
  2. (alle Angebote versandkostenfrei, u. a. Prey (Day One Edition) PC/Konsole 35,00€, Yakuza Zero PS4...
  3. 44,00€

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Vernetzte Hörgeräte und Hearables: Ich filter mir die Welt widdewiddewie sie mir gefällt
Vernetzte Hörgeräte und Hearables
Ich filter mir die Welt widdewiddewie sie mir gefällt
  1. Polar Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung
  2. The Dash Pro Bragis Drahtlos-Ohrstöpsel können jetzt auch übersetzen
  3. Beddit Apple kauft Schlaf-Tracker-Hersteller

  1. Parkplätze? An die denkt wohl keiner...

    Techn | 01:27

  2. 1Password Fake-News ?

    MarioWario | 01:19

  3. Re: Mal ne dumme Gegenfrage:

    GenXRoad | 01:10

  4. Re: Dann soll man doch bitte o2 free abschaffen

    My1 | 01:07

  5. Re: Anbindung an Passwortmanager

    GenXRoad | 01:07


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel