Webwinkels doelwit van XSS-aanvallen op helpdesk-extensie
Webwinkels die van de Magento eCommerce-software gebruikmaken zijn het doelwit van cross-site scripting (XSS) aanvallen waarbij wordt geprobeerd om malware te installeren die creditcardgegevens van klanten onderschept. De XSS-aanvallen maken gebruik van een beveiligingslek in de Mirasvit Helpdesk-extensie. De extensie zorgt voor een ticketsysteem waarmee webwinkels klantverzoeken kunnen verwerken.
De aanval op de webwinkels begint met een e-mail die bijvoorbeeld over het ontwerp van de webwinkel gaat. Het bericht bevat echter de XSS-aanval. Zodra een medewerker van de webwinkel de e-mail binnen de Helpdesk-extensie opent wordt de XSS-aanval binnen zijn browser uitgevoerd. De aanval voegt kwaadaardige code toe aan het template van de webwinkel. Deze code onderschept creditcardgegevens van klanten en stuurt die naar de aanvaller.
De Nederlandse beveiligingsonderzoeker Willem de Groot ontdekte de aanval. Hij merkt op dat de aanval vrij geraffineerd is aangezien die allerlei beveiligingsmaatregelen van de webwinkel omzeilt, zoals ip-restricties, sterke wachtwoorden, tweefactorauthenticatie en het gebruik van een vpn. De aanval vindt namelijk plaats via de browser van de medewerker die de e-mail verwerkt.
De kwetsbaarheid werd op 21 september van dit jaar ontdekt en openbaar gemaakt, gevolgd door een update van Mirasvit op 13 december. Webwinkels die met de extensie werken en update 1.5.3 nog niet hebben geïnstalleerd krijgen het advies dit zo spoedig mogelijk te doen. Mirasvit meldt dat het alle klanten gaat informeren om de update te installeren.
Slaat helemaal nergens op, wat heeft dit met PHP te maken? Tuurlijk zijn er ook beveiligingslekken in PHP maar dit is gewoon slecht codeer werk. Een XSS is gewoon te voorkomen met 1 regel code of httpd configuratie.
Slaat helemaal nergens op, wat heeft dit met PHP te maken? Tuurlijk zijn er ook beveiligingslekken in PHP maar dit is gewoon slecht codeer werk. Een XSS is gewoon te voorkomen met 1 regel code of httpd configuratie.
Heb je wel eens naar Magento gekeken? Als Magento scriptkiddie kan je PHP classes overrulen met XML instructies. Je ziet uiteindelijk echt door de bomen het bos niet meer!
hier: https://www.magereport.com/
Ook wel de interesse van de heer, Willem de G, zie.: https://github.com/gwillem
Deze random uitgezochte webshop is bij voorbeeld veilig in de meeste gevallen waar magereport op scant,
maar mogelijk weer kwetsbaar voor de zogeheten shoplift aanval.
Hun backend zit echter zo goed verstopt, dat er extra gescand moet worden.
Magenta ziet er in dit geval dus kennelijk veilig genoeg uit.
PHP en CMS coding generiek bashen is makkelijk.
De meesten, die rageren, komen aanzetten met een algemeen aangenomen vooroordeel
en scoren vervolgens gemakkelijk puntjes.
Installatie fouten en configuratie zwakheden zijn snel gemaakt en 'op die fiets' is veel meer te halen.
Een middelmatige hoster met het goedkoopste concept breekt je ook snel op.
Doe het dan zelf beter of laat het iemand het "dedicated" doen. Iemand met verstand van zaken.
Website Security Intelligence Analyse om echt iets veiliger te krijgen is een heel ander koppie thee,
dan snel een paar bashing puntjes scoren. Verdiep je er maar eens in. Leuk eindeloos onderwerp.
Mooie kleur, magenta. Serieus, je weet niet eens dat het Magento is en komt desondanks met kritiek op terechte kritiek aanzetten? Asjeblieft zeg!
Ik zeg niet, dat in handen van degenen die een op PHP gebaseerd CMS niet goed weten te configureren of alles niet afvoeren wat afgevoerd moet worden of niet voldoende patchen en updaten, men niet verkeerd bezig is. Dan kan je er inderdaad een 'rommelpotje' van maken.
In het geval van de onderhavige website was er kennelijk geen direct gevaar via een shoplift aanval/kwetsbaarheid, maar als je de W. de Groot-Mage scan in detail had bekeken, was juist voor deze kwetsbaarheid geen patch uitgerold. Er zijn dan nog andere manieren om het gevaar te keren, maar dan zit je alweer een loopgraaf verder. Hier werd melding gemaakt van een gevalletje "security through obscurity". Zeg niet dat dat een valide methode is, maar velen geloven er in en passen het nog toe ook.
Ik zeg dus niet dat bij dit Magento CMS niet voldoende mis kan gaan - met 3rd party code vooral - of als degenen, die het draaien niet weten hoe het voldoende veilig te houden is. Laten we het wel in het juiste perspectief zien. Magento CMS geef ik niet heel veel meer security grade status als Word Press en zeker in handen van n00bs niet.
Nog een fijn en veilig developer en security jaar 2018 gewenst.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
