Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

E-Commerce

Magento-Sicherheitslücke: Kriminelle stehlen Zahlungsinformationen von Kunden

    Magento-Sicherheitslücke: Kriminelle stehlen Zahlungsinformationen von Kunden
Identitätsdiebstahl: 16 Millionen E-Mail-Konten wurden von Cyberkriminellen infiltriert. Jetzt lässt sich prüfen, welche Daten noch bekannt sind. (Foto: © pn_photo - Fotolia.com)

Magento hat offenbar eine schwerwiegende Sicherheitslücke. Kriminelle sollen derzeit in großem Umfang Zahlungsinformationen von Kunden stehlen. Eine Lösung ist noch nicht in Sicht.

Das weit verbreitete Open-Source-Shopsystem Magento, das unter anderem von eBay verwendet wird, hat offenbar eine bisher unbekannte Sicherheitslücke. Dieses Leck soll es dem Sicherheitsexperten Peter Gramantik von Sucuri zufolge Angreifern ermöglichen, Kreditkarteninformationen abzugreifen, was Cyberkriminelle offenbar gerade auch in großem Stil tun.

Update vom 29. Juni 2015: Die vorliegende Meldung bezieht sich auf den sogenannten Shoplift-Bug, der seit Februar 2015 bekannt ist. Laut verschiedenen Magento-Partnern ist in Deutschland immer noch eine große Anzahl der Magento-Installationen nicht aktualisiert worden. Für bestehende Installationen müssen Shopbetreiber deshalb dringend den Security-Patch „SUPEE-5344“ herunterladen und installieren, um die Lücke zu schließen. Die aktuelle Magento-Version CE 1.9.1.1 enthält den Patch bereits. Mit Hilfe dieses Onlinetools vom Magento-Hoster Byte in den Niederlanden können Shopbetreiber ihre eigene Installation prüfen: shoplift.byte.nl.

Magento: Angreifer haben es auf Kreditkartendaten abgesehen

Gramantik hat dabei ein Script entdeckt, mit dem sämtliche POST-Abfragen von Magento mitgeschnitten werden können. Die Angreifer würden sich aber vor allem auf die Kreditkarteninformationen konzentrieren, meint der Sicherheitsforscher. Darüber hinaus hat Gramantik eine weitere Angriffsmöglichkeit beschrieben, bei dem die Angreifer über in das Checkout-Modul von Magento eingeschleusten Code an die Zahlungsinformationen gelangen und sich diese per E-Mail zuschicken lassen können.

Dieser Code soll es Angreifern ermöglichen, Magento-Nutzer zu bestehlen. (Screenshot: Sucuri)
Dieser Code soll es Angreifern ermöglichen, Magento-Nutzer zu bestehlen. (Screenshot: Sucuri)

Wo genau sich die Sicherheitslücke befindet, hat Gramantik noch nicht herausgefunden. Er vermutet das Leck im Kern von Magento oder in einem weit verbreiteten Modul. Zudem geht er davon aus, dass es sich um mehrere Angreifer handelt, die aktuell Zahlungsinformationen von Kunden stehlen würden. „Das Schlimme ist“, so Gramantik, „dass man erst weiß, dass man selbst betroffen ist, wenn es schon zu spät ist.“ Dann nämlich, wenn die Diebe die Kreditkartendaten für ihre Zwecke benutzt hätten.

Erfolg macht Magento zu interessantem Angriffsziel

Magento ist Teil von eBay Enterprise, das offenbar zum Verkauf steht. eBay soll sich bereits in Verhandlungen mit interessierten potenziellen Käufern befinden. Der Kaufpreis soll zwischen einer und eineinhalb Milliarden US-Dollar betragen. Magento kommt eigenen Angaben zufolge bei rund einem Viertel der Online-Shops unter den Top-Eine-Million-Seiten bei Alexa zum Einsatz und ist nicht zuletzt aus diesem Grund für Cyberkriminelle ein interessantes Angriffsziel.

Finde einen Job, den du liebst

4 Reaktionen
Stella
Stella

Diese Nachrichten sind nicht nur niederschmetternd für alle Kunden, sondern auch für die Händler die auf eine große Lösung vertraut und sich damit unwissend zu Gehilfen gemacht haben. Im Endeffekt kann jedes Shopsystem angegriffen werden, aber gerade solche mit Plugins von Drittanbietern und Open-Source-Software sind hierbei nun einmal besonders anfällig. Für mehr Informationen hierzu: http://www.versacommerce.de/blog/it-sicherheit-und-online-shops-tausende-magento-shops-greifen-ihre-kunden-an

Antworten
Jochen G. Fuchs

Hallo zusammen,

danke für die Hinweise, die Sicherheitslücke auf die sich diese Meldung bezieht ist existent und bekannt seit mindestens Oktober/Februar und bereits gepatched worden.

http://magento.com/blog/technical/critical-security-advisory-remote-code-execution-rce-vulnerability#.VZFSFu3tlBc

Verschiedene Magento-Partner, siehe zum Beispiel Intersales (https://www.intersales.de/blog/magento-sicherheitsluecke-shoplift-bug-noch-immer-sind-viele-shops-betroffen/) weisen darauf hin, dass immer noch sehr viele Magento-Installationen von Shopbetreibern nicht aktualisiert wurden.

Ich habe den Artikel entsprechend aktualisiert.

Viele Grüße aus der Redaktion,
Jochen

Antworten
Bastian
Bastian

Hallo,

dem kann ich mich anschließen.
Es handelt sich hierbei um eine Backdoor in einem Core-Script von Magento welche eingebaut wurde um Daten abzugreifen. Das gleiche passiert genau so bei jeder anderen Webanwendung wo ein Zugriff auf den Server möglich.

Das ist zu vergleichen mit einem Keylogger auf einem Computer, das bedeutet nicht zwangsläufig das grundsätzlich alle Computer Sicherheitslücken haben, sondern es ist auch möglich das durch veraltete Software, über einen USB-Stick oder per E-Mail Schadsoftware installiert wurde.

Natürlich sind Shopsysteme ein beliebtes Ziel, klar installiert man dort eine Backdoor zum Kreditkarten klauen. Auf einem Router installiert man halt einen Passwortsniffer und auf kleineren Servern versendet man Spam. Eben das was sich am meisten lohnt.

In der Regel sind die gehackten Shops veraltete Installationen mit einer Menge 3rd-Party-Extensions die angreifbar sind (ich habe selber einige Installationen bereinigt). Hier gleich auf eine Lücke im Core von Magento zu schließen ist falsch, außerdem würde man als Angreifer dann lieber 1-2 große als 10-12 kleine Shops infizieren um das Risiko das die Lücke geschlossen wird gering zu halten.

Antworten
Kian
Kian

Liebes T3N Team

Es handelt sich hierbei nicht um eine Lücke in Magento, dies wurde auch schon von heise fälschlicherweise so publiziert. Es geht hier darum, dass Angreifer sich über andere Mittel (FTP, Passwortsicherheit etc.) Zugriff auf Webserver verschaffen und dann Magento Code verändern um Informationen mitzuschneiden. Es hat also nichts mit Magento zu tun. Im Anbetracht dessen, dass die Firma, die diese "angebliche" Sicherheitslücke publiziert Ihr Geld damit verdient Security Monitoring für Magento anzubieten, kann diese Meldung getrost als gutgläubig verbreiter viraler Marketing Stunt gewertet werden.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen