Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar

14. April 2017

Wie die Firma DefenseCode berichtet, gibt es mehrere Sicherheitslücken in der verbreiteten Webshop-Software Magento. Eine dieser Lücken erlaubt unter anderem Remote Code Execution.

Beschreibung

Angreifer können mit einfachen Mitteln Magento-Installationen dazu bringen, beliebigen Code auszuführen.

Da die Methode nun öffentlich bekannt und trivial umzusetzen ist, ist anzunehmen, dass entsprechende Angriffe bald grossflächig stattfinden werden.

Auswirkungen

Über diesen Fehler kann potentiell beliebiger Code auf den betroffenen Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Systeme, auf denen Magento "Community Edition" zumindest in Version 2.1.6 installiert ist. Ob andere Versionen bzw. die kommerzielle "Enterprise Edition" auch betroffen sind, ist momentan noch nicht klar.

Abhilfe

Es stehen noch keine Updates zur Verfügung.

Als temporäre Massnahmen bietet sich etwa an, in der Konfiguration des Webservers sicherzustellen, dass in dem Verzeichnisbaum, in dem Magento hochgeladene Image-Dateien ablegt, ein Aktivieren von (PHP-) Code-Ausführung nicht durch Einschleusen von

.htacccess
-Dateien (wie zB von der Webserver-Software Apache unterstützt) nicht möglich ist.

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung von DefenseCode (PDF, englisch)
http://www.defensecode.com/advisories/DC-2017-04-003_Magento_Arbitrary_File_Upload.pdf
Meldung von Kaspersky (englisch)
https://threatpost.com/high-risk-zero-day-leaves-200000-magento-merchants-vulnerable/124965/