PUBLIKATIONEN

Sicherheitslücken: bis zu 200.000 Magento-Shops betroffen

magento

Magento gehört weltweit zu den beliebtesten Shop-Software-Lösungen. Kritische Sicherheitslücken machen es aktuell möglich, dass Hacker komplette Onlineshops übernehmen könnten, die mit Magento laufen.

Bis zu 200.000 Shops sind nach Expertenschätzungen von den Sicherheitslücken betroffen. Abhilfe verschafft die Installation aktueller Sicherheits-Patches, die Magento online bereitstellt.

Das Unternehmen Check Point hat vor einigen Tagen in seinem Firmen-Blog einen Beitrag veröffentlicht, in dem mehrere Sicherheitslücken der Shop-Software Magento dokumentiert wurden. Durch diese Sicherheitslücken sei es möglich, dass Hacker komplette Shop-Installationen übernähmen und so Zugriff auf sämtliche Kundendaten bekämen. Check Point wirft Magento in dem Beitrag unter anderem vor, mit der Prüfung von Benutzerrechten in der Shop-Software zu schlampig umzugehen.

Sicherheitslücken werden bereits ausgenutzt

Nach Angaben der Sicherheitsdienstdienstleisters Sucuri ist die Gefahr nicht nur theoretischer Natur, sondern wurde in der Praxis schon im großen Stil von Hackern ausgenutzt. Die Hacker nutzen die Sicherheitslücken, um zusätzliche Benutzer mit Administratorrechten in der Shop-Software anzulegen. So bekommen sie vollständigen Zugriff auf das Shop-Backend – und damit auch sämtliche internen Daten.

Check Point hat Magento schon im Februar 2015 auf die Problematik hingewiesen. Daraufhin stellte Magento die entsprechenden Sicherheits-Patches online. Das Problem ist jedoch, dass Nutzer der kostenlosen Community Edition von Magento die Patches manuell installieren müssen. Das gilt auch für Neuinstallationen. In der aktuellen Version der Shop-Software sind die Patches nämlich noch nicht integriert. Auf diesen Missstand findet sich auf der Magento-Website kein einziger Hinweis! Shop-Betreiber, die von der Sicherheitsbedrohung bislang noch nichts mitbekommen haben und ihre Software nicht aktualisiert haben, laufen also Gefahr, dass ihr Shop von Hackern komplett übernommen werden könnte. Diese könnten somit unter anderem auch Zugriff auf Kunden- und deren Konto- und Kreditkartendaten bekommen.

Shop-Betreiber reagieren oft zu spät

Die Zahl der nach wie vor unsicheren Shop-Systeme macht wieder einmal deutlich, dass Shop-Betreiber leider meist zu spät von derlei Sicherheitslücken erfahren. Deshalb ist es für Betreiber dringend zu empfehlen, mit Magento-Agenturen zusammenzuarbeiten, die auf sicherheitsrelevante Informationen achten, sofort eingreifen und die Betreiber informieren. Ist das nämlich nicht der Fall, riskieren Shop-Betreiber nicht nur unmittelbare finanzielle Schäden, sondern auch einen großen Vertrauensverlust bei ihren Kunden.

„In den letzten Monaten sind einige kritische Magento Sicherheitslücken entdeckt und geschlossen worden. SUPEE-5344, SUPEE-4829 und SUPEE-1533 wurden bei CYBERDAY auf allen von Ihnen betreuten Umgebungen ohne Probleme installiert. Zum Schutz unsere Kunden, deren Daten und Infrastruktur nehmen wir solche Patches proaktiv vor“, erklärt Simon Huck, Geschäftsführer der Magento-Agentur Cyberday GmbH.

Magento-Nutzer, die die Patches noch nicht installiert haben, sollten dies unverzüglich nachholen, um die Sicherheitslücken zu schließen. Außerdem empfiehlt es sich, die im Shop-Backend angelegten Benutzer mit Administratorrechten zu überprüfen. Nach Angaben von Sucuri würden russische Hacker bei noch nicht gepatchen Onlineshops Nutzer mit den Namen „vpwq“ und „defaultmanager“ anlegen. Möglich seien aber auch andere Namensbezeichnungen.

Gerne unterstützen wir auch Sie, beim optimalen Schutz Ihres Magento-Onlineshops. Sprechen Sie uns einfach an …..

Links:

Dieser Beitrag wurde in folgenden Artikeln erwähnt:

  1. Pingback: Magento lässt Shopanbieter bei Sicherheitslücken im Regen stehen » Blog für den Onlinehandel
  2. Pingback: Neuer Security-Patch: Magento rät dringend zur Installation | CYBERDAY GmbH Blog

Schreibe einen Kommentar

Ähnliche Artikel
Magento-Skimming: Mindestens 1.000 deutsche Online-Shops sind betroffen

Hacker haben in mindestens 1.000 deutsche Online-Shops, die auf veralteten Magento-Versionen basieren, Schadsoftware eingespielt, mit der Zahlungsinformationen von Kunden ausgespäht werden können. Besonders bitter: Mehrere hundert der betroffenen Shops wurden bereits im September 2016 über die Infektion informiert – und haben nicht reagiert.

Letzte Woche schreckte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Branche mit einer Brandmeldung auf: Mindestens 1.000 deutsche Online-Shops wurden gehackt.

Weiterlesen
Neuer Security-Patch: Magento rät dringend zur Installation

Magento hat mit „SUPEE-6285“ einen neuen Security-Patch veröffentlicht, den Shop-Betreiber, die die Magento-Versionen bis 1.9.1.1 nutzen, unverzüglich installieren sollten. Die aktuellste Version 1.9.2.0 beinhaltet den Security-Patch bereits.

Erst zwei Monate ist es her, dass Magento Alarm schlagen musste: Durch mehrere aufgedeckte Sicherheitslücken war es Hackern möglich geworden, in fremden Shop-Systemen neue Benutzer mit Administratorrechten anzulegen und so Zugriff auf sämtliche hinterlegten Kunden- und Bezahldaten zu bekommen. Bis zu 200.000 Shops galten damals als akut gefährdet.

Weiterlesen
Warum das neue Security-Patch SUPEE-6788 von Magento dringend eingespielt werden sollte

Seit August wurden von Magento bereits wieder zehn neue, teilweise schwerwiegende Sicherheitslücken entdeckt und mit dem neuen Security-Patch SUPEE-6788 behoben. Magento zufolge wurden diese Sicherheitslücken bisher nicht von Hackern ausgenutzt und waren angeblich bis dato wahrscheinlich unbekannt. Mit Veröffentlichung des Patches hat sich das nun natürlich geändert. Es ist daher davon auszugehen, dass Angreifer schon bald versuchen werden, diese Schwachstellen auszunutzen.

Der Security-Patch SUPEE-6788 sollte daher umgehend installiert werden. Der Patch wurde diese Woche veröffentlicht. Die gleichzeitig ausgelieferten neuen Magento Versionen Enterprise Edition 1.14.2.2 und Community Edition 1.9.2.2 enthalten bereits alle Sicherheits-Updates.

Weiterlesen
Kontakt