/ OSS / Zero Day Exploit: Magento-Onlineshops sind wieder gefährdet

Zero Day Exploit: Magento-Onlineshops sind wieder gefährdet

114908-102222-i_rc.jpg
Gerfried Steube on April 14, 2017 - 10:12 pm in OSS

Defensecode hat ein Security Advisory ausgegeben, das eine hohe Gefahr für Betreiber von Magento-Systemen darstellt. Laut Defensecode wurden die Magento-Entwickler bereits im November 2016 auf die Sicherheitslücke aufmerksam gemacht. Magento reagierte sogar am Tag der Meldung und bestätigte Defensecode, dass man sich der Sicherheitslücke bewusst sei.

Doch dann passierte nichts mehr. Am 11. April 2017 kontaktierte Defensecode erfolglos noch einmal Magento und veröffentlichte am gestrigen 13. April das Security Advisory. Demzufolge ist es Angreifern möglich, aktive Magento-Sessions zu manipulieren. Dazu muss der Anwender des Magento-Systems nur zum Besuch einer präparierten Webseite gebracht werden. Anschließend lässt sich Fremdcode ausführen. Der Angriff soll so einfach sein, dass er beispielsweise in einem Magento-Support-Forum platziert werden könnte. Besonders hohe Rechte braucht der Angregriffene nicht, er muss nur in seinem Magento-System angemeldet sein.

Magento kennt die Probleme, kommuniziert aber kaum

Auf Anfragen von Kaspersky und PC World reagierte das Unternehmen mit kurzen Statements. Demnach soll schon im nächsten Magento-Release die Sicherheitslücke geschlossen werden. Zudem kennt Magento bisher keine Angriffe auf Nutzer des Systems.

Laut Defensecode gibt es eine einfache Option, um die Angriffe zu verhindern. “Add Secret Key to URLs” muss aktiviert werden. Von Magento kommt dieser Tipp nicht. Im Sinne der Besucher von Magento-Shops sollten Administratoren schnell reagieren. Magento kommuniziert derartige Probleme oft nicht in dem Umfang, der notwendig wäre. Weder auf der Webseite noch auf dem Twitter-Account gibt es Hinweise auf die Sicherheitslücke.

Read more on: Source

Comments are disabled