E-Commerce-Plattform: SicherheitslĂĽcke in Adobe Commerce wird ausgenutzt
Aktuell scheint es zahlreiche Angriffe auf Online-Shops zu geben, die Adobe Commerce (früher Magento) einsetzen. Davor warnen Sicherheitsexperten von Sansec.​
Aktuell gibt es zahlreiche Angriffe auf Online-Shops, die die E-Commerce-Plattform Adobe Commerce (frĂĽher Magento) einsetzen. Davor warnen Sicherheitsexperten von Sansec.
CosmicSting (CVE-2024-34102) wurde bereits vor einem Monat entdeckt. Laut Sansec werden derzeit drei bis fĂĽnf Online-Shops pro Stunde attackiert, darunter seien auch bekannte internationale Marken. Sansec geht davon aus, dass die Zahl kompromittierter Shops weiter steigen wird. AuĂźerdem gehen die Experten davon aus, dass diese LĂĽcke 75 Prozent der E-Commerce-Shops von Adobe betrifft.
API-Missbrauch
CosmicSting ermöglicht es Angreifern, auf beliebige Dateien zuzugreifen und somit den geheimen Verschlüsselungs-Key von Magento zu stehlen. Mit diesem Schlüssel können JSON Web Tokens (JWT) erstellt werden, die vollen administrativen API-Zugriff ermöglichen.
Die Magento REST-API bietet Sansec zufolge verschiedene Endpunkte, die Angreifer missbrauchen können. Beispielsweise könnten betrügerische Bestellungen über POST /V1/orders aufgegeben und persönliche Informationen von Kunden über GET /V1/customers/{id}
gestohlen werden. Besonders attraktiv fĂĽr Angreifer sind jedoch die /V1/cmsBlock
-Endpunkte.
Sansec hat die folgenden Schritte bei der Ausnutzung dieser Schwachstelle im groĂźen Stil beobachtet: Dabei wird CosmicSting verwendet, um den encryption_key
aus app/etc/env.php
auszulesen. Dabei wird ein Verschlüsselungs-Key verwendet, um ein JWT zu generieren. Eine Liste der vorhandenen CMS-Blöcke wird über GET /V1/cmsBlock/search
abgerufen. Alle CMS-Blöcke werden über PUT /V1/cmsBlock/{id}
aktualisiert, um bösartige Skripte am Ende jedes Blocks einzufügen.
Verschlüsselungs-Key ebenfalls ändern
Sansec empfiehlt, die Systeme dringend mit einem Upgrade auf den neuesten Stand zu bringen oder den offiziellen Patch zu installieren, den Adobe vor wenigen Tagen veröffentlicht hat. Das alleinige Patchen der CosmicSting-Schwachstelle reicht jedoch nicht, da der gestohlene Verschlüsselungs-Key den Angreifern weiterhin ermöglicht, Web-Tokens zu generieren. Da der Key von bisher nicht gepatchten Systemen höchstwahrscheinlich ebenfalls kompromittiert ist, sollte dieser laut Adobe zusätzlich manuell in app/etc/env.php
aktualisiert werden.
Sansec empfiehlt Audit-Logs, die Änderungen an CMS-Blöcken sichtbar machen. Dank der Protokolle lassen sich die Aktivitäten der Administratoren und Systemzugriffe erfassen. Unter anderem können Sicherheitsvorfälle dadurch im Nachhinein nachvollzogen und missbräuchliches Verhalten erkannt werden.
(mack)