Eine ausgeklügelte Schwachstelle in der E-Commerce-Plattform Magento wurde aufgedeckt, die eine erhebliche Bedrohung für Online-Händler und Käufer darstellt.
Die als CVE-2024-20720 identifizierte Schwachstelle erlaubt es Angreifern, eine dauerhafte Hintertür in Magento-Servern zu platzieren und somit die Sicherheit unzähliger E-Commerce-Websites zu kompromittieren.
Die Angriffsmethode umfasst eine geschickte Manipulation des Layout-Template-Systems von Magento. Es wurde festgestellt, dass Angreifer bösartigen XML-Code in die Datenbanktabelle layout_update einfügen, der dann jedes Mal ausgeführt wird, wenn ein Kunde den Checkout-Warenkorb aufruft.
Diese Ausführung nutzt die Kombination des Layout-Parsers von Magento mit dem beberlei/assert Paket, einer Komponente, die standardmäßig auf Magento-Systemen installiert ist. Der spezifisch ausgeführte Befehl, sed, wird verwendet, um eine Hintertür im CMS-Controller hinzuzufügen, was sicherstellt, dass die Malware selbst nach manuellen Korrekturen oder Systemneukompilierungen erneut eingeschleust wird.
Injektion bösartiger Payloads
Diese Hintertür ermöglicht es Angreifern nicht nur, den Zugang zu den kompromittierten Systemen aufrechtzuerhalten, sondern auch zusätzliche bösartige Payloads einzuspeisen. Ein von Sansec beobachteter Payload ist ein gefälschter Stripe-Zahlungsskimmer, der darauf ausgelegt ist, Zahlungsinformationen von ahnungslosen Käufern zu stehlen.
Der Skimmer wurde dabei erwischt, wie er gestohlene Daten an einen kompromittierten Magento-Shop übermittelte, was die Raffinesse und Reichweite der Angreifer weiter unterstreicht.
Die hinter dieser Kampagne stehenden Angreifer wurden mit mehreren IP-Adressen in Verbindung gebracht, was auf einen koordinierten Angriff auf mehrere E-Commerce-Websites hindeutet.
Die Entdeckung dieser Schwachstelle folgt auf einen Anstieg der Aktivitäten im Bereich des digitalen Skimmings, auch bekannt als Magecart-Angriffe, die seit 2015 zunehmen. Diese Angriffe zielen speziell auf Online-Shopping-Plattformen ab, um Kreditkartendaten während des Checkout-Prozesses zu stehlen.
Um das Risiko, das von dieser Schwachstelle ausgeht, zu mindern, hat Sansec Empfehlungen für betroffene Händler herausgegeben. Magento-Shop-Besitzer sollten den eComscan-Scanner verwenden, ein Werkzeug, das dazu entwickelt wurde, versteckte Hintertüren in ihren Systemen aufzudecken. Zusätzlich wird empfohlen, Magento auf die Versionen 2.4.6-p4, 2.4.5-p6 oder 2.4.4-p7 zu aktualisieren, um die Schwachstelle zu schließen und sich gegen zukünftige Angriffe zu schützen.
Dieser Vorfall dient als deutliche Erinnerung an die ständig präsenten Bedrohungen, mit denen Online-Händler konfrontiert sind, und unterstreicht die Bedeutung aktueller Sicherheitsmaßnahmen. Während Angreifer ihre Taktiken weiterentwickeln, muss die E-Commerce-Branche wachsam bleiben, um die Integrität des Online-Shoppings und die Privatsphäre der Verbraucher weltweit zu schützen.
