Achtung: Gefährliche Sicherheitslücke in Magento-Plugin Magmi entdeckt

Magento Logo

Erneut macht eine gefährliche Sicherheitslücke, die das pouläre Online-Shop-System Magento betrifft, Schlagzeilen. Mindestens 8000 Installationen sollen betroffen sein. In der Vergangenheit gab es schon des Öfteren kritische Sicherheitslücken in dem beliebten Shop-System. Diesmal hat es allerdings ein Plugin eines Drittanbieters getroffen. Die Rede ist vom Open-Source Daten-Import Plugin Magmi. Lesen Sie hier, was Sie beachten sollten.

Art des Angriffs

Die erst jetzt bekannt gewordene Zero-Day Lücke im Plugin Magmi ermöglicht es den Angreifern, eine lokale XML-Datei im Hauptverzeichnis von Magento zu öffnen und zu bearbeiten, welche verschiedene Anmeldeinformationen und Schlüssel beinhaltet. Dies wird dadurch ermöglicht, dass Magento und Plugins häufig im selben Root-Verzeichnis abgelegt werden. Dadurch kann per Script auf Dateien von Magento zugegriffen werden. Installiert man das Plugin nicht im selben Root-Verzeichnis, besteht nach aktuellen Informationen keine Gefahr.

Auswirkungen

Laut neuesten Erkenntnissen wird in betroffenen Systemen dann über die kompromittierte XML-Datei Code in bestimmte Datenbanktabellen geschrieben. Es handelt sich hier meist um das Feld „design/footer/absolute_footer“ in der Tabelle core_config_data table. In den bekannt gewordenen Fällen, wurde auf diese Art JavaScript-Code in den Footer eingeschleust, der dann zur Laufzeit automatisch iFrames zur Seite mit der Control-Software des Angreifers aufbaut. Läd ein Benutzer also eine Seite eines betroffenen Shops, wird ihm dann über die Seite des Angreifers, die im iFrame geladen wird, das sogenannte Neutrino Exploit-Kit untergeschoben. Diese Software erlaubt es den Angreifern Login- oder andere kritische Nutzerdaten der User einzusehen. Googles Bots wurden bereits entsprechend geeicht und blacklisten deswegen alle Shops, bei denen dieser Schadcode gefunden wird.

Wie schütze ich mich?

Google und Mozilla haben bereits die Domain gesperrt, über die der Schadcode auf fast 8000 Magento-Seiten verteilt wurde. Trotzdem ist nicht auszuschließen, dass die Lücke auf andere Art und Weise ausgenutzt wird. Magento verweist deswegen aktuell auf die eigenen Security Best Practices, bis die Lücke geschlossen wurde. Natürlich sollen auch die neuesten Patches eingespielt werden. Falls es inaktive Benutzerkonten (z.B. von der Installation) gibt, sollen diese entfernt werden. Auch auf ein Community-Projekt zur Durchsuchung des eigenen Shops nach Malware wird verwiesen. Zusätzlich soll man die eigenen Datenbanktabellen aber auch nach dem Schadcode durchsuchen und entsprechend bereinigen. Anschließend kann man bei Google einen Antrag auf Streichung des Blacklist-Eintrages stellen. Wenn Sie Magmi nicht verwenden, sollten Sie von diesem Exploit allerdings nicht betroffen sein.

Quellen:
http://magento.com/security/news/important-security-update
http://www.heise.de/security/meldung/Tausende-Magento-Shops-greifen-ihre-Kunden-an-2850132.html
https://threatpost.com/zero-day-in-magento-plugin-magmi-under-attack/115026/
https://blog.sucuri.net/2015/10/massive-magento-guruincsite-infection.html


Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert