Magento-Shops: Verwundbare Add-ons als Schlupfloch für Kreditkarten-Skimmer

Im Zuge der Magecart getauften Kampagne sollen kriminelle Hacker gezielt nach Online-Shops auf Magento-Basis mit angreifbaren Add-ons suchen. Ist das erfolgreich, injizieren sie über eine Sicherheitslücke Code in die Seite und fischen über Fake-Formulare Kreditkartendaten ab.

Darauf ist der Sicherheitsforscher Willem de Groot gestoßen. In seinem Beitrag zu den Vorfällen warnt er, dass dies gegenwärtig in großem Stil geschehe. Darüber hinaus listet er die für Angriffe anfälligen Erweiterungen auf und zeigt auf, ob es bereits Sicherheitspatches gibt. Darunter sind beispielsweise die Add-ons AW AdvancedReports, Made_Cache und Webcooking_SimpleBundle. Die Liste will er eigenen Angaben zufolge aktualisieren, wenn ihm neue Informationen vorliegen.

Zwei Jahre alte Sicherheitslücke

Infos zur Lücke (CVE-2016-4010) gelangten 2016 an die Öffentlichkeit. Setzen Angreifer an der Schwachstelle an, sollen sie aus der Ferne ohne Authentifizierung PHP-Code auf Shopseiten schieben und ausführen können.

Die Magento-Entwickler haben die Lücke Ende 2016 mit dem Patch 8788 geschlossen. Bei einigen Add-ons ist das offensichtlich bis heute nicht geschehen. Nach dem Beitrag des Sicherheitsforschers haben aber schon einige Entwickler reagiert und ihre Erweiterungen repariert. Einige Add-ons werden aber voraussichtlich nie einen Patch bekommen, die sie sich der Liste von de Groot zufolge nicht mehr in der Entwicklung befinden.

Admins, die Magento-Shops betreuen, sollten sich die Liste unbedingt anschauen und wenn möglich nicht gefixte Add-ons deaktivieren. Geschieht dies nicht, könnten Angreifer ein Bezahl-Overlay in verwundbaren Shopsystemen platzieren, um darüber Bezahldaten abzufangen. (des)