Zero Day Exploit: Magento-Onlineshops sind wieder gefährdet

Wer eine Magento-basierte Onlineshop-Lösung verwendet, sollte dringend seine Einstellungen überprüfen. Eine Sicherheitslücke erlaubt die Kompromittierung des Angebots. Es betrifft aber nicht alle Installationen und der Hersteller arbeitet an einem Patch, kommuniziert dies jedoch nicht vernünftig.

Artikel veröffentlicht am ,
Es gibt eine neue Sicherheitslücke in Magento.
Es gibt eine neue Sicherheitslücke in Magento. (Bild: Magento)

Defensecode hat ein Security Advisory ausgegeben, das eine hohe Gefahr für Betreiber von Magento-Systemen darstellt, sofern die Option "Add Secret Key to URLs" deaktiviert wurde. Laut Defensecode wurden die Magento-Entwickler bereits im November 2016 auf die Sicherheitslücke aufmerksam gemacht. Magento reagierte sogar am Tag der Meldung und bestätigte Defensecode, dass man sich der Sicherheitslücke bewusst sei.

Stellenmarkt
  1. IT-Sicherheitskoordinator Geodateninfrastrukturen & Urbane Datenplattformen (w/m/d)
    Dataport, verschiedene Standorte
  2. Automation Expert (d/m/w)
    OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
Detailsuche

Doch dann passierte nichts mehr. Am 11. April 2017 kontaktierte Defensecode erfolglos noch einmal Magento und veröffentlichte am gestrigen 13. April das Security Advisory. Demzufolge ist es Angreifern möglich, aktive Magento-Sessions zu manipulieren. Dazu muss der Anwender des Magento-Systems nur zum Besuch einer präparierten Webseite gebracht werden. Anschließend lässt sich Fremdcode ausführen. Der Angriff soll so einfach sein, dass er beispielsweise in einem Magento-Support-Forum platziert werden könnte. Besonders hohe Rechte braucht der Angegriffene nicht, er muss nur in seinem Magento-System angemeldet sein.

Magento kennt die Probleme, kommuniziert aber kaum

Auf Anfragen von Kaspersky und PC World reagierte das Unternehmen mit kurzen Statements. Demnach soll schon im nächsten Magento-Release die Sicherheitslücke geschlossen werden. Zudem kennt Magento bisher keine Angriffe auf Nutzer des Systems.

Laut Defensecode gibt es eine einfache Option, um die Angriffe zu verhindern. "Add Secret Key to URLs" muss aktiviert werden. Von Magento kommt dieser Tipp nicht. Im Sinne der Besucher von Magento-Shops sollten Administratoren schnell reagieren. Magento kommuniziert derartige Probleme oft nicht in dem Umfang, der notwendig wäre. Weder auf der Webseite noch auf dem Twitter-Account gibt es Hinweise auf die Sicherheitslücke.

Nachtrag vom 16. April 2017, 22:42 Uhr

Golem Akademie
  1. Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop
    16.-20.05.2022, Virtuell
  2. Linux-Systeme absichern und härten: virtueller Drei-Tage-Workshop
    07.-09.06.2022, Virtuell
Weitere IT-Trainings

Die Option "Add Secret Key to URLs" ist als Standard bei einer Magento-Installation aktiv. Betroffen sind also nur Konfigurationen, bei denen die Funktion deaktiviert wurde. Der Text wurde entsprechend aktualisiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Verwandte Artikel
artikel-bild
Security
Datenklau im E-Commerce-System Magento
artikel-bild
Webshop
Magento 2.0 setzt auf mehr Leistung durch moderne Technik
artikel-bild
Einigung erzielt
EU verbietet Geoblocking im Online-Handel
Meistgelesen
artikel-bild
Nordvpn, Expressvpn, Mullvad & Co
Die Qual der VPN-Wahl
artikel-bild
Autoindustrie
Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
artikel-bild
Bundeswehr
Das Heer will sich nicht abhören lassen
Kommentarübersicht
Re: Wie man sich absichert
AdrianJ 02. Jul 2017

Danke! Aber du hast vergessen, das man vielleicht auch Selbst nach Sicherheitslücken...

Re: In Standard-Konfiguration nicht ausnutzbar:
as (Golem.de) 16. Apr 2017

Hallo, stimmt, danke für den Hinweis, ich aktualisiere das gleich. gruß -Andy (Golem.de)

Re: Mein Beileid
Tigtor 16. Apr 2017

OK, danke für die info und frohe Ostern

Aktuell auf der Startseite von Golem.de
Google
Russland will Youtube aus Selbstschutz nicht blockieren

Die zahlreichen Drohungen der russischen Zensurbehörde zur Blockade von Youtube werden wohl nicht umgesetzt. Die Auswirkungen wären zu stark.

Google: Russland will Youtube aus Selbstschutz nicht blockieren
Artikel
  1. Nordvpn, Expressvpn, Mullvad & Co: Die Qual der VPN-Wahl
    Nordvpn, Expressvpn, Mullvad & Co
    Die Qual der VPN-Wahl

    Wer sicher im Internet unterwegs sein will, braucht ein VPN - oder doch nicht? Viele Anbieter kommen jedenfalls gar nicht erst in Frage.
    Von Moritz Tremmel

  2. Nintendo, Kerbal Space, Mars: Costa Rica kämpft gegen Ransomware-Akteure
    Nintendo, Kerbal Space, Mars
    Costa Rica kämpft gegen Ransomware-Akteure

    Sonst noch was? Was am 18. Mai 2022 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  3. Sicherheitslücken schließen, Cyberattacken abwehren
     
    Sicherheitslücken schließen, Cyberattacken abwehren

    Cyberattacken sind für viele Unternehmen ein Risikofaktor. Wie sich Sicherheitslücken finden und Systeme schützen lassen, erläutern drei Online-Workshops der Golem Akademie.
    Sponsored Post von Golem Akademie

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /