Jetzt patchen: Lücken in Magento lassen sich zu Exploit-Chains zusammenbauen

Im Zuge eines Updates haben die Entwickler der E-Commerce-Plattform Magento Ende vergangenen Monats nach eigenen Angaben insgesamt 75 Sicherheitsverbesserungen vorgenommen. Sie sollen Online-Shop-Betreiber und ihre Kunden vor diversen Angriffsszenarien schützen, weshalb – sofern noch nicht geschehen – die sofortige Aktualisierung dringend anzuraten ist.

Den vom Magento-Team veröffentlichten, in drei Teile aufgeteilten Sicherheitshinweisen ist zu entnehmen, dass insgesamt 19 der behobenen Sicherheitslücken einen CVSS-v3-Score von 7.4 ("High") bis hin zu 9.1 ("Critical") aufweisen. Sie können (teils ohne Authentifizierung) ausgenutzt werden, um unter anderem Sicherheitsmechanismen auszuhebeln und beliebigen Code auszuführen.

Lücken-Verkettung birgt zusätzliche Gefahren

Das wäre für sich betrachtet schon mehr als Grund genug, schnellstmöglich auf eine der abgesicherten Versionen 2.1.18, 2.2.9 oder 2.3.2 umzusteigen. Hinzu kommt aber auch, dass Sicherheitsforscher des Analysesoftware-Unternehmens Ripstech in einem Blogeintrag vom gestrigen Dienstag ausdrücklich vor möglichen "Exploit-Chains" warnen.

Als Basis für eine solche Verkettung könne eine von Ripstech entdeckte Sicherheitslücke mit der Kennung CVE-2019-7877 dienen, die mit einem CVSS-v3-Score von 5.5 ("Medium") auf den ersten Blick eher harmlos wirkt. Auf Anfrage von heise Security teilte ein Ripstech-Mitarbeiter allerdings mit, dass sie – abweichend von Magentos Beschreibung – ohne vorherige Authentifizierung ausnutzbar sei. Versierte Angreifer könnten sie missbrauchen, um mittels Cross-Site-Scripting zunächst die Session eines angemeldeten Nutzers zu hijacken.

Magentos aktuelle Sicherheitshinweise umfassen laut Ripstech "dutzende" (Remote-Code-Execution-)Lücken, die sich, obwohl sie für sich betrachtet eine Authentifizierung erforderten, als zweiter Schritt an die begonnene Exploit-Chain anfügen ließen. Um potenziellen Angreifern keine Steilvorlage zu bieten, demonstriert Ripstech dies im Blogeintrag lediglich an einer bereits im März gepatchten Lücke. Das detaillierte Beispiel zeigt allerdings, dass Angreifer die volle Kontrolle über Magento-Installationen übernehmen und (bei aktiviertem Authorize.Net-Modul) beispielsweise Zahlungen von Shopkunden an sich selbst umleiten könnten.

CVE-2019-7877 steckt in sämtlichen Magento-Versionen vor 2.1.18, 2.2.9 oder 2.3.2. Dementsprechend rät auch Ripstech zum zügigen Update.

Update 04.07.19, 15:35: Auch für Magento Commerce (Versionen 1.9.0.0 bis 1.14.4.1) und Magento Open Source (Versionen 1.5.0.0 bis 1.9.4.1) stehen Sicherheitsupdates bereit. Von CVE-2019-7877 sind sie nicht betroffen, wohl aber von zahlreichen anderen teils kritischen (und aus der Ferne ausnutzbaren) Lücken. Weitere Details sind einem separaten Sicherheitshinweis zu entnehmen. (ovw)