Webwinkels die van de Magento eCommerce-software gebruikmaken zijn het doelwit van cross-site scripting (XSS) aanvallen waarbij wordt geprobeerd om malware te installeren die creditcardgegevens van klanten onderschept. De XSS-aanvallen maken gebruik van een beveiligingslek in de Mirasvit Helpdesk-extensie. De extensie zorgt voor een ticketsysteem waarmee webwinkels klantverzoeken kunnen verwerken.
De aanval op de webwinkels begint met een e-mail die bijvoorbeeld over het ontwerp van de webwinkel gaat. Het bericht bevat echter de XSS-aanval. Zodra een medewerker van de webwinkel de e-mail binnen de Helpdesk-extensie opent wordt de XSS-aanval binnen zijn browser uitgevoerd. De aanval voegt kwaadaardige code toe aan het template van de webwinkel. Deze code onderschept creditcardgegevens van klanten en stuurt die naar de aanvaller.
De Nederlandse beveiligingsonderzoeker Willem de Groot ontdekte de aanval. Hij merkt op dat de aanval vrij geraffineerd is aangezien die allerlei beveiligingsmaatregelen van de webwinkel omzeilt, zoals ip-restricties, sterke wachtwoorden, tweefactorauthenticatie en het gebruik van een vpn. De aanval vindt namelijk plaats via de browser van de medewerker die de e-mail verwerkt.
De kwetsbaarheid werd op 21 september van dit jaar ontdekt en openbaar gemaakt, gevolgd door een update van Mirasvit op 13 december. Webwinkels die met de extensie werken en update 1.5.3 nog niet hebben geïnstalleerd krijgen het advies dit zo spoedig mogelijk te doen. Mirasvit meldt dat het alle klanten gaat informeren om de update te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.