Magento-Shopsysteme einfach ausspionieren

Aufgrund einer signifikanten Sicherheitslücke im Zend-Framework ist das kostenfreie Shopsystem Magento einfach angreifbar. Dies äußert sich beispielsweise durch die freizügige Herausgabe von Dateien (RFD, Remote File Disclosure) des Servers an den Angreifer. Dazu muss lediglich die Zend-XMLRPC-Schnittstelle des Magento Shops verfügbar sein.

Bereits vor zwei Monaten wurde diese Sicherheitslücke bekannt und trotz Bekanntwerdens wurde bei sehr vielen Magento-Installationen immer noch kein Update durchgeführt. Diese Shopbetreiber agieren grob fahrlässig, da die Entwickler des Magento-Shops bereits die entsprechenden Sicherheits-Patches zur Verfügung gestellt haben.

Auf der einen Seite wird das Beispiel genannt, dass Kundendaten abgegriffen werden könnten. Aus der Sicht eines Dropshippers ergeben sich aber noch ganz andere Szenarien. So kann beispielsweise ein Mitbewerber über die hinterlegten Lager und den damit verbundenen Whitelabel-Dropshipping-Anbietern herausfinden, wer für das Fulfillment  des Shop-Betreibers zuständig ist. Ein Projektnachbau ist somit einfach ohne zeitintensive Recherche zu bewerkstelligen.

Ein anderes denkbares Szenario ist es durch eine Änderung der hinterlegten Payment-Anbieter (Bankverbindung, PayPal, etc.) die Kundenzahlungen auf eigene Konten um zu dirigieren.

Eine Analyse ergab, dass ca. 50 Prozent der Magento-Installationen betroffen sind. Dabei ist unser eigener Crawler auf der Suche nach Magento-Installationen zufällig vorgegangen, so dass diese Zahl gegebenenfalls nicht repräsentativ für die gesamte Internet-Landschaft anzusehen ist.

An dieser Stelle ist die Bitte an alle Shopbetreiber die Version des eingesetzten Magento-Shops zu überprüfen und gegebenenfalls die entsprechenden Schritte für ein Update einzuleiten. Bereits die Community-Version 1.7.0.2 ist nicht mehr von dieser kritischen Schwachstelle betroffen.