Magento Sicherheitslücke besteht weiterhin

Während sich die Aufregung über die weltweite Ausbreitung des Erpressungstrojaners WannaCry langsam legt, besteht eine bereits vor Monaten bekannt gewordene Sicherheitslücke in Magento weiterhin. Von dem Problem kann potenziell jeder Magento 2 Onlineshop betroffen sein – bis eines Tages das nächste Update kommt. Da sich Magento damit noch Zeit lässt, haben die Entdecker der Schwachstelle nun Anweisungen zur Absicherung von Shops gegen entsprechende Angriffe veröffentlicht.

Worum genau geht es?

Bereits vor einem halben Jahr entdeckte Bosko Stankovic, ein Mitarbeiter des Sicherheitsunternehmens DefenseCode, eine Schwachstelle in der Shopsoftware Magento. Bereits Mitte November 2016 informierte DefenseCode den Hersteller der Software über die aufgefundene Sicherheitslücke, deren Existenz Magento dann auch bestätigte. Geschlossen werden soll die Schwachstelle mit dem nächsten Release von Magento Community Edition – doch das lässt noch immer auf sich warten. Entsprechende Hacker-Angriffe sind bislang noch keine gemeldet worden. Aber nachdem auf eine weitere Anfrage von DefenseCode zu diesem Thema vor wenigen Wochen überhaupt keine Reaktion mehr von Magento kam, entschloss sich die Sicherheitsfirma dazu, detaillierte Informationen zu der entdeckten Problematik und den nötigen Schritten für die Absicherung von Magento 2 Onlineshops zu veröffentlichen.

Wo genau befindet sich die Sicherheitslücke?

Die Schwachstelle kann durch einen Angreifer, der sich Zugang zu einem Shop verschafft hat, relativ einfach genutzt werden. Dabei genügt sogar der Zugriff auf ein Benutzerkonto ohne Administratorrechte. Die detaillierte Beschreibung der Sicherheitslücke, von der alle Magento 2.x Versionen bis Magento Community Edition 2.1.6 betroffen sind, hat DefenseCode in einem PDF-Dokument bereitgestellt.

Wie so oft geht es auch in diesem Fall um eine versteckte Möglichkeit, Fremdcode in das System einzuschleusen und dort auszuführen. Wenn in einem Magento 2 Shop mithilfe der integrierten Funktionalität zum Einbinden von Produktvideos ein Vimeo-Video zu einem Produkt hinzugefügt wird, lädt das System ein Vorschaubild, das auf dem Server abgespeichert wird. Handelt es sich bei der so angelegten Datei um eine fehlerhafte oder keine Bilddatei, wird diese im Frontend nicht angezeigt, verbleibt aber dennoch auf dem Server. Wenn es also einem Angreifer gelingt, das Herunterladen des Vorschaubilds auf eine selbst bestimmte URL zu lenken, kann er eigenen Schadcode auf dem Magento Server platzieren. Zusätzlich muss noch eine .htaccess Datei in dasselbe Verzeichnis eingeschleust werden, die dafür sorgt, dass an diesem Ort Code ausgeführt werden kann. Es genügen also zwei mit passenden Dateinamen vorbereitete und in der beschriebenen Weise auf dem Server gespeicherte Dateien, um einen Magento 2 Shop für kriminelle Zwecke zu missbrauchen. Ob und wann ein solcher Angriff entdeckt wird, hängt davon ab, was genau der Hacker nach dem Einbruch anstellt. Und natürlich davon, was der Shopbetreiber dafür tut, seinen Shop sauber zu halten.

Was kann man tun, um seinen Shop abzusichern?

Die von DefenseCode beschriebene Lösung besteht aus zwei Teilen. Zum einen muss sichergestellt werden, dass die Option Secret Key zu URLs hinzufügen in Magento unter Konfiguration > Admin > Erweitert > Sicherheit auf “Ja” gestellt ist, um Cross-Site Request Forgeries (CSRF) zu erschweren. Zum anderen muss über die zentrale .htaccess Datei dafür gesorgt werden, dass kein Code in untergeordneten Verzeichnissen ausgeführt werden kann, die eigentlich überhaupt keinen Code enthalten sollten (wie zum Beispiel Verzeichnisse, in denen Magento Mediendateien wie zum Beispiel Vorschaubilder abspeichert).

Können wir Ihnen helfen?

Gern unterstützen wir Sie dabei, Ihren Magento 2 Shop gegen etwaige Angriffe abzusichern. Und um sicherzustellen, dass Ihr Shop nicht bereits ins Visier von Hackern geraten ist und auch in Zukunft bestmöglich dagegen geschützt ist, empfehlen wir Ihnen unseren Magento Security Check.