Erfolgreiche Angriffskampagne trifft Online-Shops auf Basis von Magento 1
Der Support für Version 1.x der Onlineshop-Software Magento endete im Juni 2020. Eine aktuelle "Magecart"-Angriffskampagne zielt nun auf veraltete Shops.
(Bild: welcomia/Shutterstock.com)
Viele Shopbetreiber nutzen noch immer Version 1 der Onlineshop-Software Magento, obwohl diese im Juni 2020 das "End of Life" (EoL) erreichte und somit keine Sicherheitsupdates mehr bekommt. Eine aktuelle Angriffskampagne profitiert von diesem Versäumnis: Am vergangenen Wochenende registrierte das niederländische Unternehmen Sansec erfolgreiche Attacken auf fast 2000 Magento-1-Shops weltweit. Dabei habe es sich um automatisierte, so genannte Magecart-Angriffe gehandelt , bei denen mit Hilfe von injiziertem Schadcode heimlich Bank- oder Kreditkartendaten von Shopkunden abgegriffen wurden.
Sansec schätzt, dass Zahlungsdaten von insgesamt zehntausenden Shop-Kunden in die Hände der Kriminellen gefallen sein könnten. Eine Liste der betroffenen Magento-1-Shops hat das Unternehmen nicht veröffentlicht; diese stelle man auf Anfrage Strafverfolgungsbehörden zur Verfügung.
Zero-Day-Nutzung sehr wahrscheinlich
Sansec befasst sich seit 2015 mit der Erkennung und Abwehr von so genanntem Online-Skimming, dem Ausspähen von Kredit- und Bankkartendaten zu Betrugszwecken. Bei der aktuellen Magecart-Angriffskampagne handele es sich um die mit Abstand größte, die die Firma bislang beobachtet habe. Am vergangenen Freitag habe man zunächst 10 Infektionen registriert, dann 1058 am Samstag, 603 am Sonntag und 233 am gestrigen Montag, an dem auch Sansecs Blogeintrag zu den Angriffen veröffentlicht wurde.
Auf welche Weise die Angreifer Zugriff auf die Systeme erlangten, ist unklar. Da offenbar viele Shops betroffen waren, die bislang nicht durch Sicherheitsvorfälle auffielen, vermutet das Sansec-Team den Einsatz einer neuen Angriffstechnik. Im Blogeintrag verweist Sansec insbesondere auf einen Zero-Day-Exploit sowie Exploit-Code für zwei bereits bekannte (und von Hersteller Adobe vor dem EoL beseitigte) Sicherheitslücken, der vor einigen Wochen für 5000 US-Dollar in einem Hacking-Forum feilgeboten wurde. Ein Zusammenhang zu den aktuellen Angriffen sei denkbar.
(Bild: Sansec / sansec.io)
Umstieg auf Magento 2 ratsam
Potenziell betroffene Shopbetreiber können ihre Magento-1-Installation auf Skimmer-Code überprüfen, den die Malware, eine Datei namens mysql.php, in die Magento-spezifische Datei prototype.js schreibt. mysql.php wird anschließend wieder gelöscht. Details zum Skimmer-Code nennt Sansec im Blogeintrag (Abschnitt "Attack method"). Als weitere Kompromittierungsindikatoren werden unbefugte Zugriffe über die IP-Adressen 92.242.62.210 und 91.121.94.121 aufs Admin-Panel und auf "Magento Connect" zum Nachladen und Installieren von Schadcode aufgeführt.
Unabhängig von einer tatsächlich erfolgten Kompromittierung sollten Magento-Shopbetreiber aus Security-Perspektive spätestens jetzt auf das immerhin schon seit 2015 verfügbare Magento 2 umsteigen. Eine Übersicht über verfügbare Installationsmethoden bietet Adobe auf der Magento Download-Website.
(ovw)