Abo
  • IT-Karriere:

Ebay: Magento-Shops stehen Angreifern offen

Eine kritische Sicherheitslücke in der aktuellen Version von Magento erlaubt Angreifern das Ausführen von beliebigem PHP-Code. Sorgen macht der unprofessionelle Umgang des Herstellers mit der Lücke.

Artikel veröffentlicht am , Hanno Böck
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen.
Onlineshops mit der aktuellen Version der Software Magento stehen Angreifern offen. (Bild: Check Point)

Die Firma Check Point hat vor einigen Tagen in ihrem Blog einen ausführlichen Bericht über mehrere Sicherheitslücken in der Online-Shopping-Software Magento veröffentlicht. Den Forschern von Check Point gelang es dabei, durch das Zusammenspiel von verschiedenen Sicherheitslücken eine Magento-Installation komplett zu übernehmen.

Stellenmarkt
  1. Haufe Group, Freiburg
  2. Universität Hamburg, Hamburg

Magento ist ein in PHP geschriebener Onlineshop. Eine kostenlose Version wird als Community Edition unter einer freien Lizenz angeboten. Magento wurde vor einigen Jahren von Ebay übernommen.

Patch seit Februar, aber keine neue Version

Check Point hatte bereits im Januar die Entwickler von Magento auf die Lücken hingewiesen. Im Februar wurde dann ein Patch veröffentlicht, der auf der Magento-Seite heruntergeladen werden kann. Vor wenigen Tagen dann veröffentlichte Check Point sämtliche Details zu den verschiedenen Sicherheitslücken, welche die IDs CVE-2015-1397, CVE-2015-1398 und CVE-2015-1399 erhalten haben.

Der Softwareentwickler Matthias Geniar weist in seinem Blog darauf hin, dass die aktuelle Community-Edition von Magento den Patch noch nicht enthält. Wer die Downloadseite von Magento aufruft, dem wird zunächst der Download der aktuellen Version 1.9.1.0 angeboten. Einen Hinweis darauf, dass diese Version eine extrem kritische Sicherheitslücke enthält, gibt es nicht.

Deutlich weiter unten auf der Seite befinden sich einige Patches, von denen der erste mit der Kennung SUPEE-5344 die von Check Point entdeckten Sicherheitslücken behebt. Die meisten Nutzer, die nichts von der aktuellen Sicherheitslücke wissen, würden vermutlich einfach die aktuelle Version herunterladen und den unscheinbar angebotenen Patch ignorieren.

Sämtliche Downloads von Magento sind nur zugänglich, wenn man einen Account auf der Seite besitzt und sich einloggt. Eine zusätzliche Hürde, die es umständlich macht, den kritischen Patch zu erhalten, weshalb Matthias Geniar ihn selbst zum Download bereitgestellt hat.

Lücke wird bereits aktiv ausgenutzt

Laut einem Bericht der Firma Sucuri, der der Lücke passenderweise den Namen Shoplift gegeben hat, wird das Problem in Magento bereits aktiv ausgenutzt. Demnach beobachtete Sucuri Angriffe, die von russischen IP-Adressen ausgingen und zusätzliche Admin-User in bestehende Magento-Installationen einfügten. Benutzt wurden dabei die Nutzernamen vpwq und defaultmanager.

Magento-Nutzer können ihre Installation auf diese Nutzernamen prüfen. Das hilft aber nur, um diese speziellen Angriffe zu entdecken, denn ein anderer Angreifer könnte andere Nutzernamen verwenden oder die Lücken in anderer Weise ausnutzen.

Neben der Ausführung von bösartigem Code kann ein Angreifer auch nach Belieben Informationen aus der Datenbank des Shops extrahieren. Sämtliche Kundendaten, Bestellungen und auch Zahlungsinformationen wie Kontonummern und Kreditkartendaten stehen dem Angreifer offen.

Verkettung von mehreren Sicherheitslücken

Bemerkenswert ist die Komplexität des Angriffs von Check Point. Hierbei wurde eine ganze Reihe von unterschiedlichen Sicherheitslücken miteinander verkettet. Zunächst stellten die Check-Point-Forscher fest, dass Magento bei der Prüfung von Nutzer- und Adminrechten schlampte. Es gelang ihnen, bestimmte Funktionen in Modulen, die eigentlich nur angemeldeten Nutzern zur Verfügung stehen sollten, ohne Anmeldung zu nutzen. Weiterhin ließen sich die Rechte für bestimmte Module auf Admin-Privilegien ausweiten.

Anschließend fand sich eine so ausnutzbare SQL-Injection, die durch eine fehlerhafte Filterung der Daten in einem CSV-Export-Modul entstand. Durch eine geschickte Ausnutzung einer Phar-Datei, einem Format, um PHP-Skripte gepackt abzulegen, gelang letztendlich die Ausführung von bösartigem PHP-Code.

Klar macht ein solcher Angriff, dass auch Sicherheitslücken, die isoliert betrachtet nicht extrem kritisch erscheinen, in ihrer Summe eine problematische Sicherheitslücke darstellen können.



Anzeige
Top-Angebote
  1. 192,99€ (Bestpreis!)
  2. 149,90€
  3. (u. a. Sandisk 512-GB-SSD für 55,00€, WD Elements Exclusive Edition 2 TB für 59,00€ und Abend...

irata 26. Apr 2015

Hä? Und wieso sind die Patches (es sind zwei) dann auf der offiziellen Magento-Seite? Im...


Folgen Sie uns
       


Mercedes EQC Probe gefahren

Wie schlägt sich der neue EQC von Mercedes im Vergleich mit anderen Elektroautos? Golem.de hat das SUV in der Umgebung von Stuttgart Probe gefahren.

Mercedes EQC Probe gefahren Video aufrufen
5G-Antenne in Berlin ausprobiert: Zu schnell, um nützlich zu sein
5G-Antenne in Berlin ausprobiert
Zu schnell, um nützlich zu sein

Neben einem unwirtlichen Parkplatz in Berlin-Adlershof befindet sich ein Knotenpunkt für den frühen 5G-Ausbau von Vodafone und Telekom. Wir sind hingefahren, um 5G selbst auszuprobieren, und kamen dabei ins Schwitzen.
Von Achim Sawall und Martin Wolf

  1. Tausende neue Nutzer Vodafone schafft Zuschlag für 5G ab
  2. Vodafone Callya Digital Prepaid-Tarif mit 10 GByte Datenvolumen kostet 20 Euro
  3. Kabelnetz Vodafone bekommt Netzüberlastung nicht in den Griff

Garmin Fenix 6 im Test: Laufzeitmonster mit Sonne im Herzen
Garmin Fenix 6 im Test
Laufzeitmonster mit Sonne im Herzen

Bis zu 24 Tage Akkulaufzeit, im Spezialmodus sogar bis zu 120 Tage: Garmin setzt bei seiner Sport- und Smartwatchserie Fenix 6 konsequent auf Akku-Ausdauer. Beim Ausprobieren haben uns neben einem System zur Stromgewinnung auch neue Energiesparoptionen interessiert.
Ein Test von Peter Steinlechner

  1. Fenix 6 Garmins Premium-Wearable hat ein Pairing-Problem
  2. Wearable Garmin Fenix 6 bekommt Solarstrom

Party like it's 1999: Die 510 letzten Tage von Sega
Party like it's 1999
Die 510 letzten Tage von Sega

Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
Von Martin Wolf


      •  /