t3n News E-Commerce

Magento-Sicherheitslücke: Kriminelle stehlen Zahlungsinformationen von Kunden

Magento-Sicherheitslücke: Kriminelle stehlen Zahlungsinformationen von Kunden

hat offenbar eine schwerwiegende . Kriminelle sollen derzeit in großem Umfang Zahlungsinformationen von Kunden stehlen. Eine Lösung ist noch nicht in Sicht.

Magento-Sicherheitslücke: Kriminelle stehlen Zahlungsinformationen von Kunden
Identitätsdiebstahl: 16 Millionen E-Mail-Konten wurden von Cyberkriminellen infiltriert…

Das weit verbreitete Open-Source-Shopsystem Magento, das unter anderem von eBay verwendet wird, hat offenbar eine bisher unbekannte Sicherheitslücke. Dieses Leck soll es dem Sicherheitsexperten Peter Gramantik von Sucuri zufolge Angreifern ermöglichen, Kreditkarteninformationen abzugreifen, was Cyberkriminelle offenbar gerade auch in großem Stil tun.

Update vom 29. Juni 2015: Die vorliegende Meldung bezieht sich auf den sogenannten Shoplift-Bug, der seit Februar 2015 bekannt ist. Laut verschiedenen Magento-Partnern ist in Deutschland immer noch eine große Anzahl der Magento-Installationen nicht aktualisiert worden. Für bestehende Installationen müssen Shopbetreiber deshalb dringend den Security-Patch „SUPEE-5344“ herunterladen und installieren, um die Lücke zu schließen. Die aktuelle Magento-Version CE 1.9.1.1 enthält den Patch bereits. Mit Hilfe dieses Onlinetools vom Magento-Hoster Byte in den Niederlanden können Shopbetreiber ihre eigene Installation prüfen: shoplift.byte.nl.

Magento: Angreifer haben es auf Kreditkartendaten abgesehen

Gramantik hat dabei ein Script entdeckt, mit dem sämtliche POST-Abfragen von Magento mitgeschnitten werden können. Die Angreifer würden sich aber vor allem auf die Kreditkarteninformationen konzentrieren, meint der Sicherheitsforscher. Darüber hinaus hat Gramantik eine weitere Angriffsmöglichkeit beschrieben, bei dem die Angreifer über in das Checkout-Modul von Magento eingeschleusten Code an die Zahlungsinformationen gelangen und sich diese per E-Mail zuschicken lassen können.

Dieser Code soll es Angreifern ermöglichen, Magento-Nutzer zu bestehlen. (Screenshot: Sucuri)
Dieser Code soll es Angreifern ermöglichen, Magento-Nutzer zu bestehlen. (Screenshot: Sucuri)

Wo genau sich die Sicherheitslücke befindet, hat Gramantik noch nicht herausgefunden. Er vermutet das Leck im Kern von Magento oder in einem weit verbreiteten Modul. Zudem geht er davon aus, dass es sich um mehrere Angreifer handelt, die aktuell Zahlungsinformationen von Kunden stehlen würden. „Das Schlimme ist“, so Gramantik, „dass man erst weiß, dass man selbst betroffen ist, wenn es schon zu spät ist.“ Dann nämlich, wenn die Diebe die Kreditkartendaten für ihre Zwecke benutzt hätten.

Erfolg macht Magento zu interessantem Angriffsziel

Magento ist Teil von eBay Enterprise, das offenbar zum Verkauf steht. eBay soll sich bereits in Verhandlungen mit interessierten potenziellen Käufern befinden. Der Kaufpreis soll zwischen einer und eineinhalb Milliarden US-Dollar betragen. Magento kommt eigenen Angaben zufolge bei rund einem Viertel der Online-Shops unter den Top-Eine-Million-Seiten bei Alexa zum Einsatz und ist nicht zuletzt aus diesem Grund für Cyberkriminelle ein interessantes Angriffsziel.

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
4 Antworten
  1. von Kian am 29.06.2015 (14:56 Uhr)

    Liebes T3N Team

    Es handelt sich hierbei nicht um eine Lücke in Magento, dies wurde auch schon von heise fälschlicherweise so publiziert. Es geht hier darum, dass Angreifer sich über andere Mittel (FTP, Passwortsicherheit etc.) Zugriff auf Webserver verschaffen und dann Magento Code verändern um Informationen mitzuschneiden. Es hat also nichts mit Magento zu tun. Im Anbetracht dessen, dass die Firma, die diese "angebliche" Sicherheitslücke publiziert Ihr Geld damit verdient Security Monitoring für Magento anzubieten, kann diese Meldung getrost als gutgläubig verbreiter viraler Marketing Stunt gewertet werden.

    Antworten Teilen
  2. von Bastian am 29.06.2015 (15:17 Uhr)

    Hallo,

    dem kann ich mich anschließen.
    Es handelt sich hierbei um eine Backdoor in einem Core-Script von Magento welche eingebaut wurde um Daten abzugreifen. Das gleiche passiert genau so bei jeder anderen Webanwendung wo ein Zugriff auf den Server möglich.

    Das ist zu vergleichen mit einem Keylogger auf einem Computer, das bedeutet nicht zwangsläufig das grundsätzlich alle Computer Sicherheitslücken haben, sondern es ist auch möglich das durch veraltete Software, über einen USB-Stick oder per E-Mail Schadsoftware installiert wurde.

    Natürlich sind Shopsysteme ein beliebtes Ziel, klar installiert man dort eine Backdoor zum Kreditkarten klauen. Auf einem Router installiert man halt einen Passwortsniffer und auf kleineren Servern versendet man Spam. Eben das was sich am meisten lohnt.

    In der Regel sind die gehackten Shops veraltete Installationen mit einer Menge 3rd-Party-Extensions die angreifbar sind (ich habe selber einige Installationen bereinigt). Hier gleich auf eine Lücke im Core von Magento zu schließen ist falsch, außerdem würde man als Angreifer dann lieber 1-2 große als 10-12 kleine Shops infizieren um das Risiko das die Lücke geschlossen wird gering zu halten.

    Antworten Teilen
  3. von Jochen G. Fuchs am 29.06.2015 (16:30 Uhr)

    Hallo zusammen,

    danke für die Hinweise, die Sicherheitslücke auf die sich diese Meldung bezieht ist existent und bekannt seit mindestens Oktober/Februar und bereits gepatched worden.

    http://magento.com/blog/technical/critical-security-advisory-remote-code-execution-rce-vulnerability#.VZFSFu3tlBc

    Verschiedene Magento-Partner, siehe zum Beispiel Intersales (https://www.intersales.de/blog/magento-sicherheitsluecke-shoplift-bug-noch-immer-sind-viele-shops-betroffen/) weisen darauf hin, dass immer noch sehr viele Magento-Installationen von Shopbetreibern nicht aktualisiert wurden.

    Ich habe den Artikel entsprechend aktualisiert.

    Viele Grüße aus der Redaktion,
    Jochen

    Antworten Teilen
  4. von Stella am 20.10.2015 (11:16 Uhr)

    Diese Nachrichten sind nicht nur niederschmetternd für alle Kunden, sondern auch für die Händler die auf eine große Lösung vertraut und sich damit unwissend zu Gehilfen gemacht haben. Im Endeffekt kann jedes Shopsystem angegriffen werden, aber gerade solche mit Plugins von Drittanbietern und Open-Source-Software sind hierbei nun einmal besonders anfällig. Für mehr Informationen hierzu: http://www.versacommerce.de/blog/it-sicherheit-und-online-shops-tausende-magento-shops-greifen-ihre-kunden-an

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Sicherheitslücke
Magento: XSS-Sicherheitslücke bedroht Millionen Shops
Magento: XSS-Sicherheitslücke bedroht Millionen Shops

Das weit verbreitete Open-Source-Shopsystem Magento hat eine schwerwiegende Sicherheitslücke, die Millionen von E-Commerce-Websites bedrohen soll. » weiterlesen

Hacken per Selfie: ImageMagick-Sicherheitslücke bedroht unzählige Websites
Hacken per Selfie: ImageMagick-Sicherheitslücke bedroht unzählige Websites

ImageMagick, eine beliebte Software zur Verarbeitung von Bildern, verfügt über eine gefährliche Sicherheitslücke. Damit lässt sich schadhafter Code auf einem Server ausführen. » weiterlesen

Malware-Report: 75 Prozent aller legitimen Websites haben ungepatchte Sicherheitslücken
Malware-Report: 75 Prozent aller legitimen Websites haben ungepatchte Sicherheitslücken

Eine Vielzahl an ungepatchten Sicherheitslücken, mehr als 430 Millionen neue Malware-Varianten und das größte jemals öffentlich gewordene Datenleck: So sah das IT-Jahr 2015 aus Sicht der … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?