Sicherheitslücke in Magento

Zur Sicherheit: Magento Shops jetzt patchen

Sicherheitslücken sind im Online-Bereich, nicht zuletzt im E-Commerce, ein sehr unangenehmes aber extrem wichtiges Thema. Niemand möchte etwas damit zu tun haben, aber alle sollten sich damit auseinandersetzen. In den vergangenen Monaten bekamen zahlreiche Magento Shopbetreiber zu spüren, wie sich “Brute-Force-Attacken” anfühlen – und welche Schäden Angreifer in nicht ausreichend geschützten Shops anrichten können. Andere wurden von Angriffen heimgesucht, die zunächst kaum zu bemerken waren – bis auf anderem Wege deutlich wurde, dass offenbar Kunden- und Kreditkartendaten gestohlen worden waren. Aber wie erkennt man, ob man betroffen ist? Und wie rüstet man seinen Magento Shop mit den so wichtigen Security Patches aus?

Wir haben kürzlich auch alle unsere Magento Demoshops mit der Integration der neuesten Security Patches auf den Stand der Version 1.9.1.1 plus Sicherheitsupdate vom 14. Mai aktualisiert. Zur Sicherheit, damit Angreifer weder in unseren offen zugänglichen Demoshop noch in einen der persönlich bereitgestellten Testshops einbrechen und dort weiteres Unheil anrichten können. Aber wo genau liegen eigentlich die aktuell aufgefundenen Schwachstellen, die es umgehend zu schließen sind? Und welche Attacken hat es in der jüngeren Vergangenheit auf Magento Shops gegeben?

Wo liegt das Problem?

Seit dem 9. Februar weist Magento Shopbetreiber darauf hin, dass im System eine kritische Schwachstelle entdeckt wurde, die in jedem Magento Shop unbedingt geschlossen werden muss. Es handelt sich um eine von Check Point entdeckte Lücke in der Sicherheitsarchitektur von Magento, genauer: eine RCE (remote code execution) Schwachstelle, die es Hackern ermöglicht, sich an allen Sicherheitsmechanismen vorbei unerlaubten Zugriff auf Magento Shops mitsamt der vollständigen Datenbank und allen sensiblen Daten zu verschaffen. Da die Schwachstelle im Magento Core liegt, sind alle Installationen des Systems betroffen – ob Community Edition oder Enterprise Edition.

Was passiert bei einem Angriff?

Hacker, die sich die kürzlich entdeckte Sicherheitslücke zunutze machen, dringen in Magento Onlineshops ein – und können dort mit Administrator-Rechten alles tun, was sie tun möchten. Vor allem werden sie es dabei auf sensible Daten abgesehen haben, nicht zuletzt auf die Kreditkarten der Kunden. Nicht selten gehen dem eigentlichen Hack Brute-Force-Attacken voraus. Haben die Angreifer ihr Ziel erreicht, hinterlassen sie aber unweigerlich Spuren, die sich relativ leicht erkennen lassen. Hier eine Auswahl der bisher aufgetretenen Phänomene:

  • Neu angelegter Admin-User in Magento
  • Vor Kurzem erstellte Dateien mit unbekannter Herkunft
  • Anfragen von unbekannten IP-Adressen in den Server Logs (POST /index.php/admin/Cms_Wysiwyg/directive/index/)
  • Trojaner im System
  • Falsch eingestellte Berechtigungen an Dateien/Verzeichnissen
  • Verborgene Dateien im Dateisystem
  • Ohne erkennbaren Grund geöffnete Ports
  • Suspekte Port-Weiterleitungen auf OS-Level

Was tun? Unbedingt Security Patches installieren!

Da es sich um eine Schwachstelle im Magento Core handelt, hilft in diesem Zusammenhang nur eines: SUPEE-5994, so die Bezeichnung des betreffenden Patches. Die rettende Nachbesserung kann auf der offiziellen Downloadseite von Magento heruntergeladen werden, wobei Magento dringend empfiehlt, in diesem Zuge – wenn nicht schon geschehen – auch SUPEE-1533 (Security Patch vom Oktober 2014) zu installieren. Im aktuellen Magento Community Edition 1.9.1.1 sind diese und weitere wichtige Patches selbstverständlich bereits enthalten. Zahlreiche Shopbetreiber mit älteren Versionen haben längst reagiert und ihre Shops erfolgreich gegen die kriminellen Code-Injections immunisiert. Aber es gibt immer noch Magento Shops, die genau die Schwachstelle aufweisen, die Hacker in aller Welt mittlerweile bestens kennen. Dabei ist die Installation schnell erledigt.

Für alle säumigen Onlinehändler heißt es also: lieber heute als morgen SUPEE-5994 installieren!

Dieser Beitrag wurde am von veröffentlicht/zuletzt bearbeitet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

+ 62 = 72