LĂĽcke im Magento-Shopsystem seit November ungestopft

Vor fünf Monaten fanden Sicherheitsforscher eine Lücke im verbreiteten Online-Shopsystem Magento, über die sich beliebiger Code ausführen lässt. Der Hersteller bestätigte die Lücke, hat sie aber seitdem nicht beseitigt.

In Pocket speichern vorlesen Druckansicht 45 Kommentare lesen
LĂĽcke im Magento-Shopsystem seit November ungestopft
Lesezeit: 3 Min.
Von
  • Gerald Himmelein
Inhaltsverzeichnis

Im November 2016 entdeckte Bosko Stankovic von der Sicherheitsfirma DefenseCode eine Lücke im verbreiteten E-Commerce-System Magento.

Die Angriffsmethode wirkt zunächst umständlich: Fügt man einem Produkteintrag ein Vimeo-Video hinzu, lädt Magento ein Preview-Bild herunter. Handelt es sich dabei um eine ungültige Datei, bindet das System sie zwar nicht ein, löscht sie aber auch nicht vom Server. Kann ein Angreifer die Anfrage nach dem Preview-Bild auf eine andere URL umbiegen, lässt sich auf diesem Weg eigener Code auf dem Server ausführen.

Für einen erfolgreichen Angriff müssen zwei Dateien im selben Verzeichnis auf dem Server landen – eine .htaccess-Datei, die den Ordner für die Ausführung von Skripten freigibt, sowie ein PHP-Skript mit dem Code des Angreifers. Eine geschickte Namensgebung reicht aus, damit Magento beide Dateien im selben Verzeichnis speichert.

DefenseCode informierte Magento bereits Mitte November über die Sicherheitslücke. Der Hersteller bestätigte die Angriffsmöglichkeit, ohne aber zu handeln. Auf eine zweite Anfrage Anfang April reagierte der Hersteller überhaupt nicht mehr. So entschloss Stankovic sich zur Veröffentlichung seines Security Advisory zur "Magento Arbitrary File Upload Vulnerability" [PDF-Link].

Mit Standard-Einstellungen betriebene Konfigurationen von Magneto sind von der Lücke nur begrenzt betroffen: Um sie auszunützen, muss ein Angreifer bereits Zugriff auf das Shop-System besitzen – hierfür reicht allerdings ein regulärer Benutzer-Account ohne Administratorrechte.

Kritischer wird die Lücke, wenn die Shop-Betreiber die standardmäßig aktive Option "Secret Key zu URLs hinzufügen" abgeschaltet haben (unter Konfiguration > Admin > Erweitert > Sicherheit). Das macht Magento für Cross-Site Request Forgeries (CSRF/XSRF) anfällig: Angreifer können Angriffs-URLs in Websites verstecken, die dazu führen, dass gleichzeitig in Magento eingeloggte Besucher Dateien auf den Shop-Server laden, ohne davon etwas mitzubekommen.

Einige Administratoren deaktivieren "Secret Key zu URLs hinzufügen", um beispielsweise Mitarbeitern direkt in das Backend führende URLs zuschicken zu können. Die Deaktivierung dieser Option wird auch als Tipp gehandelt, um den Login-Vorgang bei Systemen mit großen Caches zu beschleunigen oder um den Newsletter-Versand zu automatisieren.

DefenseCode empfiehlt Anwendern, die Option "Secret-Key zu URLs hinzufügen" (Add Secret Key to URLs) für alle Nutzer des Shop-Systems zu forcieren. Um die Ausführung von Codes in Unterverzeichnissen zu blockieren, sollten Server-Administratoren zudem eine Whitelist mit zulässigen Pfaden definieren und in der zentralen .htaccess-Datei mit "AllowOverride None" verhindern, dass andere .htaccess-Dateien diese Einschränkung unterwandern.

Magento reagierte erst auf Rückfragen von Kaspersky und PCWorld. Gegenüber Kaspersky antwortete Magento, es seien bisher keine Angriffe über diese Lücke bekannt, man werde das Problem aber mit dem nächsten Patch beseitigen. Einen Zeitplan für diesen Patch nannte Magento allerdings nicht.

Dem Analyse-Dienst BuiltWith zufolge setzen aktuell knapp 237.000 Websites auf Magento. Der Hersteller fĂĽhrt als Referenzkunden unter anderem Burger King, Coca Cola, Fraport und Liebherr auf. (ghi)