[English]Kleiner Nachtrag von letzter Woche. Seit Mitte des Monats ist bekannt, dass in Adobe Commerce- und Magento-Online-Shops die Schwachstelle CVE-2024-34102 existiert. Zusammen mit einer Linux-Schwachstelle lassen sich Tausende Shops durch Angreifer übernehmen. Es gibt seit einigen Tagen einen Fix, aber ein Großteil der Online-Shops läuft noch mit ungepatchten Versionen.
Anzeige
Schwachstelle CVE-2024-34102
Die Adobe Commerce-Versionen 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 und frühere Versionen sind von der Sicherheitslücke CVE-2024-34102 betroffen. Eine XML External Entity Reference ("XXE") könnte die Ausführung von beliebigem Code ermöglichen. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er ein manipuliertes XML-Dokument sendet, das auf externe Entitäten verweist. Für die Ausnutzung dieses Problems ist keine Benutzerinteraktion erforderlich. Inzwischen wurde ein CVS 3.1-Wert von 9.8 zugewiesen – die Schwachstelle ist also kritisch zu bewerten.
CosmicSting (CVE-2024-34102) ist der schlimmste Fehler, der seit zwei Jahren in Magento und Adobe Commerce auftritt. Er ermöglicht es jedem, Unbefugten private Dateien (z. B. solche mit Passwörtern) zu lesen. In Kombination mit dem kürzlich aufgetretenen iconv-Bug in Linux verwandelt er sich jedoch in den Sicherheitsalptraum der Remotecodeausführung. Dieser Killer-Bug gibt Angreifern die volle Kontrolle, und der Angriff kann automatisiert werden, was zu Massenhacks auf globaler Ebene führen kann.
Es gibt ein Update
Adobe hat bereits zum 11. Juni 2024 die Sicherheitswarnung APSB24-40 dazu veröffentlicht. Adobe hat ein Sicherheitsupdate für Adobe Commerce, Magento Open Source und das Adobe Commerce Webhooks Plugin veröffentlicht. Dieses Update behebt die oben erwähnte und als kritisch eingestufte und weitere wichtige Sicherheitslücken. Details zu den aktualisierten Versionen lassen sich dem Adobe-Dokument mit der Sicherheitswarnung entnehmen.
Zahlreiche ungepatchte Online-Shops in Betrieb
Die Update-Frequenz der mit den Adobe-Produkten aufgesetzten Online-Shops (Magento etc.) ist aber wohl miserable. Bereits zu 18. Juni 2024 schlug das Sansec Forensics Team Alarm. Gut 75% der E-Commerce-Shops, die mit Adobe-Software betrieben werden, sind von CosmicSting-Angriffen bedroht. Denn eine Woche nach der Veröffentlichung eines kritischen Sicherheits-Fixes ist erst ein Viertel aller Adobe Commerce- und Magento-Shops gepatcht.
Anzeige
Zum 23. Juni 2024 informierte Sergey Temnikov (alias spacewasp), der das ursprüngliche Problem entdeckt hat, das Sansec-Team darüber, dass Dritte einen API-Admin-Zugang erhalten können, ohne eine anfällige Linux-Version (mit dem iconv-Problem) zu benötigen. Das macht CosmicSting noch kritischer. Temnikov hat seine Erkenntnisse im Artikel How I Was Paid $9,000 for a Critical Vulnerability in Adobe Commerce und schlug außerdem eine verbesserte Notfalllösung zum Abschwächen des Bugs vor.
Sicherheitsforscher weisen in obigem Tweet darauf hin, dass man mehr als 54.200 Dienste gefunden habe, die über die Sicherheitslücke CosmicSting angreifbar seien. Es sind Millionen von Online-Shops, die auf den Plattformen Adobe Commerce und Magento aufgebaut sind, gefährdet. In Deutschland sin 2.600 Shops darunter. Passt mal wieder perfekt. Jemand aus der Blog-Leserschaft für Magento-E-Commerce-Shops verantwortlich?
Anzeige