Exploit für Magento-Schwachstelle ermöglicht Kartenskimming

Publiziert am 30. März 2019 von Günter Born

Betreiber eines Magento eCommerce-Shops müssen jetzt aufpassen. Es wurde ein Exploit veröffentlicht, der eine Schwachstelle in der eCommerce-Plattform Magento ausnutzt. Damit können Cyber-Kriminelle die Kontrolle über Administratorkonten übernehmen und im Shop eingegebene Kreditkartendaten über installierte Skimming-Software abfischen.

Anzeige

Der Angriffscode (Exploit), der eine kritische Schwachstelle in der Magento E-Commerce-Plattform ausnutzt, wurde gerade (Freitag) veröffentlicht. Dieser Exploit nutzt eine SQL-Injektionsschwachstelle PRODSECBUG-2198. Diese können Angreifer ohne erforderliche Authentifizierung ausnutzen, um die Kontrolle über die Administratorkonten zu übernehmen. Hacker könnten den Fehler ausnutzen, um Benutzernamen und Passwort-Hashes herunter zu laden (vorausgesetzt, die Hacker können die Hashes knacken). Anschließen können Angreifer Hintertüren oder Code für Kreditkarte-Skimming installieren.

Ein Sicherheitsforscher der Websicherheitsfirma Sucuri schreibt hier, dass die Forscher des Unternehmens einen offiziellen Patch, der am Dienstag veröffentlicht wurde, analysiert haben. Dies ermöglichte einen funktionierenden Proof-of-Concept-Exploit zu erstellen. Im letzten halben Jahr stehen Online-Shops (und vor allem Magento) im Fokus von Cyber-Kriminellen.

Patch für Magento verfügbar

PRODSECBUG-2198 ist einer von mehr als drei Dutzend Sicherheitsfehlern, die Magento-Entwickler am Dienstag veröffentlicht und behoben haben. Es betrifft die folgenden Versionen:

  • Magento Commerce < 1.14.4.1
  • Magento Open Source < 1.9.4.1
  • Magento < 2.1.17
  • Magento < 2.2.8
  • Magento < 2.3.1

Websites, die sich schnell nur vor dieser Schwachstelle schützen wollen, können einen eigenständigen Patch installieren. Viele der anderen, mit dem Patch behobene, Fehler stellen ebenfalls eine Bedrohung dar. Da sie im Allgemeinen die Authentifizierung eines Hackers erfordern, werden sie nicht als schwerwiegend angesehen. Um vollständig vor allen Schwachstellen geschützt zu sein, müssen Websites auf Magento Commerce oder Open Source 2.3.1 oder 2.2.8 aktualisiert werden. Weitere Details finden sich bei Arstechnica oder im Sucuri-Beitrag.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.