image

Webwinkels doelwit van XSS-aanvallen op helpdesk-extensie

vrijdag 29 december 2017, 08:44 door Redactie, 6 reacties

Webwinkels die van de Magento eCommerce-software gebruikmaken zijn het doelwit van cross-site scripting (XSS) aanvallen waarbij wordt geprobeerd om malware te installeren die creditcardgegevens van klanten onderschept. De XSS-aanvallen maken gebruik van een beveiligingslek in de Mirasvit Helpdesk-extensie. De extensie zorgt voor een ticketsysteem waarmee webwinkels klantverzoeken kunnen verwerken.

De aanval op de webwinkels begint met een e-mail die bijvoorbeeld over het ontwerp van de webwinkel gaat. Het bericht bevat echter de XSS-aanval. Zodra een medewerker van de webwinkel de e-mail binnen de Helpdesk-extensie opent wordt de XSS-aanval binnen zijn browser uitgevoerd. De aanval voegt kwaadaardige code toe aan het template van de webwinkel. Deze code onderschept creditcardgegevens van klanten en stuurt die naar de aanvaller.

De Nederlandse beveiligingsonderzoeker Willem de Groot ontdekte de aanval. Hij merkt op dat de aanval vrij geraffineerd is aangezien die allerlei beveiligingsmaatregelen van de webwinkel omzeilt, zoals ip-restricties, sterke wachtwoorden, tweefactorauthenticatie en het gebruik van een vpn. De aanval vindt namelijk plaats via de browser van de medewerker die de e-mail verwerkt.

De kwetsbaarheid werd op 21 september van dit jaar ontdekt en openbaar gemaakt, gevolgd door een update van Mirasvit op 13 december. Webwinkels die met de extensie werken en update 1.5.3 nog niet hebben geïnstalleerd krijgen het advies dit zo spoedig mogelijk te doen. Mirasvit meldt dat het alle klanten gaat informeren om de update te installeren.

Reacties (6)
29-12-2017, 10:41 door Whacko
Wat grappig dat als het dan een keer over een minder bekend stukje software gaat dat op PHP draait, dat de PHP bashers dan niet komen reageren :)
29-12-2017, 11:49 door Anoniem
Door Whacko: Wat grappig dat als het dan een keer over een minder bekend stukje software gaat dat op PHP draait, dat de PHP bashers dan niet komen reageren :)

Slaat helemaal nergens op, wat heeft dit met PHP te maken? Tuurlijk zijn er ook beveiligingslekken in PHP maar dit is gewoon slecht codeer werk. Een XSS is gewoon te voorkomen met 1 regel code of httpd configuratie.
30-12-2017, 11:02 door Krakatau
Door Anoniem:
Door Whacko: Wat grappig dat als het dan een keer over een minder bekend stukje software gaat dat op PHP draait, dat de PHP bashers dan niet komen reageren :)

Slaat helemaal nergens op, wat heeft dit met PHP te maken? Tuurlijk zijn er ook beveiligingslekken in PHP maar dit is gewoon slecht codeer werk. Een XSS is gewoon te voorkomen met 1 regel code of httpd configuratie.

Heb je wel eens naar Magento gekeken? Als Magento scriptkiddie kan je PHP classes overrulen met XML instructies. Je ziet uiteindelijk echt door de bomen het bos niet meer!
31-12-2017, 16:56 door Anoniem
Ga maar eens hier kijken en scan een willekeurige Magento webwinkel site,
hier: https://www.magereport.com/

Ook wel de interesse van de heer, Willem de G, zie.: https://github.com/gwillem

Deze random uitgezochte webshop is bij voorbeeld veilig in de meeste gevallen waar magereport op scant,
maar mogelijk weer kwetsbaar voor de zogeheten shoplift aanval.
Hun backend zit echter zo goed verstopt, dat er extra gescand moet worden.

Magenta ziet er in dit geval dus kennelijk veilig genoeg uit.

PHP en CMS coding generiek bashen is makkelijk.
De meesten, die rageren, komen aanzetten met een algemeen aangenomen vooroordeel
en scoren vervolgens gemakkelijk puntjes.

Installatie fouten en configuratie zwakheden zijn snel gemaakt en 'op die fiets' is veel meer te halen.
Een middelmatige hoster met het goedkoopste concept breekt je ook snel op.
Doe het dan zelf beter of laat het iemand het "dedicated" doen. Iemand met verstand van zaken.

Website Security Intelligence Analyse om echt iets veiliger te krijgen is een heel ander koppie thee,
dan snel een paar bashing puntjes scoren. Verdiep je er maar eens in. Leuk eindeloos onderwerp.
31-12-2017, 23:35 door Krakatau
Door Anoniem: Magenta ziet er in dit geval dus kennelijk veilig genoeg uit.

Mooie kleur, magenta. Serieus, je weet niet eens dat het Magento is en komt desondanks met kritiek op terechte kritiek aanzetten? Asjeblieft zeg!
01-01-2018, 00:58 door Anoniem
@Krakatau,

Ik zeg niet, dat in handen van degenen die een op PHP gebaseerd CMS niet goed weten te configureren of alles niet afvoeren wat afgevoerd moet worden of niet voldoende patchen en updaten, men niet verkeerd bezig is. Dan kan je er inderdaad een 'rommelpotje' van maken.

In het geval van de onderhavige website was er kennelijk geen direct gevaar via een shoplift aanval/kwetsbaarheid, maar als je de W. de Groot-Mage scan in detail had bekeken, was juist voor deze kwetsbaarheid geen patch uitgerold. Er zijn dan nog andere manieren om het gevaar te keren, maar dan zit je alweer een loopgraaf verder. Hier werd melding gemaakt van een gevalletje "security through obscurity". Zeg niet dat dat een valide methode is, maar velen geloven er in en passen het nog toe ook.

Ik zeg dus niet dat bij dit Magento CMS niet voldoende mis kan gaan - met 3rd party code vooral - of als degenen, die het draaien niet weten hoe het voldoende veilig te houden is. Laten we het wel in het juiste perspectief zien. Magento CMS geef ik niet heel veel meer security grade status als Word Press en zeker in handen van n00bs niet.

Nog een fijn en veilig developer en security jaar 2018 gewenst.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.