Am 13.04.2017 veröffentlichten die Sicherheitsexperten von Defensecode eine Magento Sicherheitslücke in Version 2. Grund für die Veröffentlichung war angeblich keine Reaktion seitens Magento auf die bereits im November 2016 gemeldete Sicherheitslücke. Die Lücke ermöglicht den Angreifern einen beliebigen Code auszuführen. Magento hat bis jetzt nicht bekannt gegeben, wann die Lücke gestopft wird.
Sicherheitslücke Magento 2: Seit November keine Handlung von Magento
Das populäre E-Commerce-System Magento wird regelmäßig von Sicherheitsexperten auf mögliche Sicherheitslücken geprüft. Im November 2016 enteckte das Team von Defensecode eine Magento Sicherheitslücke. Dabei handelt es sich um die Version 2. Der Hersteller wurde umgehend darüber informiert. Magento hatte die Sicherheitslücke bestätigt, dennoch auch nach fünf Monaten noch nicht geschlossen. Immerhin wurde einen Patch angekündigt. Bis jetzt ist die Erscheinungsdatum des Patches für diese Magento SIcherheitslücke ungewiss.
Am 13.04.2017 hat Defensecode die Magento Sicherheitslücke mit dem Titel „Magento Arbitrary File Upload Vulnerability“ veröffentlicht. Das Prinzip des Angriffs basiert darauf, dass der Angreifer dem Produkt ein Vimeo-Video hinzufügt und das Vorschaubild durch einen Schadcode ersetzt. Das Vorschaubild wird dabei im Magento System gespeichert und ist von Außen abrufbar. Wenn der Angreifer es schafft, die Anfrage auf eine andere URL umzuleiten, kann eigener Code ausgeführt werden.
Zugriff auf Magento Backend ist erforderlich
Der Angriff ist möglich, wenn die voreingestellte Option „Secret Key zu URLs hinzufügen“ ausgeschaltet ist. Somit wird Magento für Cross-Site Request Forgeries (CSRF/XSRF) anfällig. Wenn diese Option aktiviert ist, ist ein Zugriff auf das Shopsystem erforderlich. Für diesen Angriff reichten aber auch einfache Benutzerrechte.
Laut Magento sind bis jetzt keine Angriffe über diese Lücke bekannt. Mit über 250.000 eingesetzten Installation weltweit sind viele Händler immer noch gefährdet. Durch Angriff können sowohl Datenbanken mit sensiblen Kundendaten gestohlen werden, als auch Malware auf dem Server installiert werden.