Kürzlich wurde bekannt, dass es eine neue Sicherheitslücke in der beliebten Shopsoftware Magento gibt, die schon seit Monaten ausgenutzt werden kann. Bis jetzt ist noch kein Patch verfügbar, der diese Lücke schließt. Lesen Sie hier, wie Sie sich schützen können.

Magento Sicherheitslücke: schon lange bekannt

Die Sicherheitsexperten von Defensecode haben bereits im November des vergangenen Jahres eine Sicherheitslücke in Version 2 der beliebten Shopsoftware entdeckt und die Entwickler der Software umgehend darüber informiert. Die mit dem Namen „Magento Arbitrary File Upload Vulnerability“ getaufte Lücke kann dazu genutzt werden, um eigenen Code auf dem Server des Opfers auszuführen.

Trotz Bestätigung seitens Magento wurde jedoch bis heute kein Patch veröffentlicht, der diese Lücke schließt. Durch die Bekanntmachung und den öffentlichen Druck wurde erst jetzt ein Patch angekündigt, der in den nächsten Wochen zum Download bereit gestellt werden soll.

Wie funktioniert der Angriff?

Der Angriff bezieht sich auf eine Standard-Funktion in der Community Edition von Magento ab Version 2, die es Administratoren erlaubt, Vimeo-Videos zu den Artikelbeschreibungen eines Artikels hinzuzufügen, so der Sicherheits-News Dienst Threadpost von Kaspersky.

Wenn ein Vimeo Video zu einem Produkt hinzugefügt wird, versucht die Software automatisch, ein Vorschaubild für das Video per POST-Request zu erhalten. Dabei wird auch eine remote URL als Parameter entgegen genommen. Da diese Anfrage aber auch per GET-Request akzeptiert wird, kann man diesen Parameter ändern und z.B. die URL zu einem eigenen PHP-Script angeben.

Obwohl die Anwendung in diesem Fall eine Fehlermeldung zurückgibt, wird die Datei zu Validierungszwecken trotzdem heruntergeladen und in einem Verzeichnis auf dem Webserver gespeichert. Lässt man das System so eine präparierte .htaccess-Datei herunterladen, kann so die Ausführung von eigenen PHP-Scripts ermöglicht werden.

Wie kann die Lücke geschlossen werden?

Um die Möglichkeit eines solchen Cross-Site Request Forgerie Angriffs (CSRF/XSRF) generell auszuschließen, kann die Option „Secret Key zu URLs hinzufügen“ im Magento Backend aktiviert werden. Dadurch ist es Angreifern nicht mehr möglich, eigenen Code auf der Website auszuführen, ohne Zugriff auf das Shopsysetem zu haben. Dazu navigieren Sie im Magento Backend zu System -> Konfiguration -> Erweitert -> Admin  und klappen den Bereich „Sicherheit“ des Akkordions auf.

Magento selbst berichtet, dass es noch keine Angriffe über diese Sicherheitslücke gegeben haben soll. Trotzdem sind mehr als 200.000 Shopbetreiber betroffen und durch das Bekanntmachen der Lücke nun umso mehr gefährdet. Neben der Installation von Malware auf den Servern der Shopbetreiber könnten z.B. auch Inhalte aus der Datenbank entwendet- oder kompromittiert werden.