image

200.000 webwinkels kwetsbaar door ongepatcht Magento-lek

vrijdag 14 april 2017, 11:08 door Redactie, 3 reacties

Meer dan 200.000 webwinkels die de Magento-webwinkelsoftware gebruiken zijn kwetsbaar door een beveiligingslek waardoor een aanvaller het systeem volledig kan overnemen en een update is nog niet beschikbaar. Dat laat beveiligingsbedrijf DefenseCode in een advisory weten (pdf).

Het bedrijf voerde een audit van de Magento Community Edition uit en vond daarbij een kwetsbaarheid in het uploaden van bestanden waardoor een aanvaller op afstand code kan uitvoeren. Via het lek is het mogelijk om het systeem volledig te compromitteren, waaronder de database met klantgegevens, creditcardnummers en andere betaalgegevens.

Om de kwetsbaarheid uit te buiten is wel enige interactie van webwinkelbeheerder vereist. Een aanvaller moet die namelijk eerst op een link laten klikken zodat er een cross-site request forgery-aanval kan worden uitgevoerd. Via deze aanvalsvector is het vervolgens mogelijk om de kwetsbaarheid uit te buiten die het uitvoeren van willekeurige code mogelijk maakt.

Magento werd afgelopen november ingelicht en bevestigde de kwetsbaarheid. Aangezien er geen update verscheen besloot DefenseCode Magento op 11 april nogmaals te benaderen, maar kreeg geen reactie. Daarop werden gisteren de details van de kwetsbaarheid openbaar gemaakt. Beheerders krijgen het advies om de optie "Add Secret Key to URLs" te gebruiken. Op deze manier kan de primaire aanvalsvector via cross-site request forgery worden voorkomen. Om het uitvoeren van code via het uploaden van bestanden te voorkomen wordt aangeraden om .htaccess-bestanden in bepaalde directories niet toe te staan.

Reacties (3)
14-04-2017, 12:06 door Anoniem
Van een onderzoeksjournalist had ik nu een lijstje verwacht van Nederlandse webwinkels die Magento-software gebruik(t)en. Met heel simpel zoekwerk vond ik ze opgesomd, zie https://www.dutchento.org/showcases/.
15-04-2017, 19:05 door Anoniem
Credit card nummers? Wie slaat deze nog op???
16-04-2017, 08:58 door Anoniem
Door Anoniem: Van een onderzoeksjournalist had ik nu een lijstje verwacht van Nederlandse webwinkels die Magento-software gebruik(t)en. Met heel simpel zoekwerk vond ik ze opgesomd, zie https://www.dutchento.org/showcases/.

Nee, dit is sluikreclame die je hier doet!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.