Magento – Mehr als 2000 Shops weltweit an einem Wochenende gehackt

Nicht nur der Corona-Virus macht aktuell von sich reden. Die Nachricht über 2000 gehackte Magento-Shops kursiert seit dem letzten Wochenende und bringt viel Unruhe in die Magento-Gemeinde. Zunächst waren keine Details bekannt wie und was vorgefallen ist aber im Stundentakt wurde mehr bekannt. So war der Sinn des Hacks Zahlungsdaten von Kunden abzufangen. Das Skript installiert einen Keylogger, der eingegebene Daten mitschreibt und an Dritte übermittelt.
Nun wurde veröffentlicht, dass der Hack eine Sicherheitslücke im Zusammenhang mit Magento Connect bzw. dem Downloader von Magento ausnutzt. Hierüber wird ein Schadcode in die prototype.js kopiert, der auf ein Widget auf einem externen Server m c d n n .net (ohne Leerzeichen) verweist.
Mehr Informationen gibt es hier

Wir haben ein ganz einfaches Skript geschrieben, welches Euren Onlineshop nach diesem Schadcode überprüft. Es muss einfach nur die komplette URL des Shops eingegeben und auf „Check“ geklickt werden. Das Skript prüft dann, ob in der (öffentlich zugänglichen) prototype.js ein Verweis auf o.g. externe Domain vorhanden ist.

Das Skript bietet auch die Möglichkeit mehrere URLs zu prüfen. Dafür einfach eine URL pro Zeile eingeben und prüfen lassen.

Was hilft gegen diese Sicherheitslücke? Einfachste Antwort: Magento 2, alternativ hätte in diesem konkreten Fall (nach aktuell vorliegendem Stand) auch die Deaktivierung der Magento Connect-Funktion geholfen (ganz einfache Möglichkeit: den Ordner „downloader“ im Rootverzeichnis löschen oder umbenennen). Bei unseren Kundenprojekten ist diese standardmäßig deaktiviert, um solche Sicherheitslücken von Magento Connect generell auszuschließen.

Das Skript zum Test (unter Ausschluss jeglicher Gewährleistung!) gibt es HIER

Wenn es weitere Neuigkeiten gibt, werden wir den Artikel updaten.

Für Fragen oder Unterstützung – einfach bei uns melden.

Published by Covos

Seit 2009 arbeite ich nun intensiv mit Magento. Begonnen habe ich mit der Erstellung und dem Betrieb von B2C-Shops. Ausgeweitet wurde dies durch meine Tätigkeit im Logistik-Sektor. Hieraus entstanden erste spezialisierte B2E-Systeme. Heute arbeite ich tag-täglich mit spannenden B2C-, B2B- und B2E-Projekten und berichte in diesem Blog über Herausforderungen und gebe Insider-Tipps.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.