Magento-Lücke: Angreifer können gezielt Kreditkarten-Daten abgreifen
Auf bisher unbekanntem Weg können Angreifer Code in das Shop-System Magento einschleusen und alle Daten mitschneiden, die Nutzer an die Plattform senden. Dabei sind vor allem Kreditkarten-Daten gefährdet.
Das etwa für Ebay-Shops eingesetzte Shop-System Magento ist verwundbar und Angreifer können unter anderem die Daten von Kreditkarten mitschneiden. In aktuellen Angriffen schleusen sie dafür momentan von Admins unbemerkt Schadcode in das System ein und können anschließend jeden POST-Request einsehen. Wie die Angreifer in das System kommen, ist derzeit noch unklar, Sicherheitsforscher von Sucuri vermuten eine Schwachstelle im Kern von Magento oder einem Modul beziehungsweise einer Erweiterung.
Während die Angreifer alle POST-Requests mitschneiden, soll ein Skript nur die für die Kriminellen relevanten Kreditkarten-Daten speichern. Anschließend sollen die Angreifer die gesammelten Informationen verschlüsseln. Letztlich speichern sie alles in einer gefälschten Bild-Datei. Den Sicherheitsforschern zufolge bauen sich die Angreifer so eine Datenbank mit geklauten Kreditkarten auf. Sollte jemand durch Zufall auf die speziell präparierte Bild-Datei stoßen, würde dieser aller Voraussicht nach nichts Verdächtiges vermuten.
Weitere Angriffsmethode
Die Sicherheitsforscher von Sucuri haben noch eine weitere Angriffsmöglichkeit in Magento gefunden. In diesem Fall könne ein Angreifer Schadcode in das Checkout-Modul des Shop-Systems injizieren und so Zahlungs-Daten abgreifen, noch bevor die Transaktion stattfindet. Über entsprechende Patches ist aktuell nichts bekannt. (des)