E-Commerce-Plattform: SicherheitslĂĽcke in Adobe Commerce wird ausgenutzt

Aktuell scheint es zahlreiche Angriffe auf Online-Shops zu geben, die Adobe Commerce (früher Magento) einsetzen. Davor warnen Sicherheitsexperten von Sansec.​

In Pocket speichern vorlesen Druckansicht
Adobe Logo

Die Schwachstelle CVE-2024-34102 gefährdet E-Commerce-Plattform Adobe Commerce und Magento.

(Bild: r.classen/Shutterstock.com)

Lesezeit: 2 Min.

Aktuell gibt es zahlreiche Angriffe auf Online-Shops, die die E-Commerce-Plattform Adobe Commerce (frĂĽher Magento) einsetzen. Davor warnen Sicherheitsexperten von Sansec.

CosmicSting (CVE-2024-34102) wurde bereits vor einem Monat entdeckt. Laut Sansec werden derzeit drei bis fĂĽnf Online-Shops pro Stunde attackiert, darunter seien auch bekannte internationale Marken. Sansec geht davon aus, dass die Zahl kompromittierter Shops weiter steigen wird. AuĂźerdem gehen die Experten davon aus, dass diese LĂĽcke 75 Prozent der E-Commerce-Shops von Adobe betrifft.

CosmicSting ermöglicht es Angreifern, auf beliebige Dateien zuzugreifen und somit den geheimen Verschlüsselungs-Key von Magento zu stehlen. Mit diesem Schlüssel können JSON Web Tokens (JWT) erstellt werden, die vollen administrativen API-Zugriff ermöglichen.

Die Magento REST-API bietet Sansec zufolge verschiedene Endpunkte, die Angreifer missbrauchen können. Beispielsweise könnten betrügerische Bestellungen über POST /V1/orders aufgegeben und persönliche Informationen von Kunden über GET /V1/customers/{id} gestohlen werden. Besonders attraktiv für Angreifer sind jedoch die /V1/cmsBlock-Endpunkte.

Sansec hat die folgenden Schritte bei der Ausnutzung dieser Schwachstelle im großen Stil beobachtet: Dabei wird CosmicSting verwendet, um den encryption_key aus app/etc/env.php auszulesen. Dabei wird ein Verschlüsselungs-Key verwendet, um ein JWT zu generieren. Eine Liste der vorhandenen CMS-Blöcke wird über GET /V1/cmsBlock/search abgerufen. Alle CMS-Blöcke werden über PUT /V1/cmsBlock/{id} aktualisiert, um bösartige Skripte am Ende jedes Blocks einzufügen.

Sansec empfiehlt, die Systeme dringend mit einem Upgrade auf den neuesten Stand zu bringen oder den offiziellen Patch zu installieren, den Adobe vor wenigen Tagen veröffentlicht hat. Das alleinige Patchen der CosmicSting-Schwachstelle reicht jedoch nicht, da der gestohlene Verschlüsselungs-Key den Angreifern weiterhin ermöglicht, Web-Tokens zu generieren. Da der Key von bisher nicht gepatchten Systemen höchstwahrscheinlich ebenfalls kompromittiert ist, sollte dieser laut Adobe zusätzlich manuell in app/etc/env.php aktualisiert werden.

Sansec empfiehlt Audit-Logs, die Änderungen an CMS-Blöcken sichtbar machen. Dank der Protokolle lassen sich die Aktivitäten der Administratoren und Systemzugriffe erfassen. Unter anderem können Sicherheitsvorfälle dadurch im Nachhinein nachvollzogen und missbräuchliches Verhalten erkannt werden.

(mack)