Magento-Shopsysteme einfach ausspionieren

Magento eCommerce Shop LogoAufgrund einer signifikanten Sicherheitslücke im Zend-Framework ist das kostenfreie Shopsystem Magento einfach angreifbar. Dies äußert sich beispielsweise durch die freizügige Herausgabe von Dateien (RFD, Remote File Disclosure) des Servers an den Angreifer. Dazu muss lediglich die Zend-XMLRPC-Schnittstelle des Magento Shops verfügbar sein.

Bereits vor zwei Monaten wurde diese Sicherheitslücke bekannt und trotz Bekanntwerdens wurde bei sehr vielen Magento-Installationen immer noch kein Update durchgeführt. Diese Shopbetreiber agieren grob fahrlässig, da die Entwickler des Magento-Shops bereits die entsprechenden Sicherheits-Patches zur Verfügung gestellt haben.

Auf der einen Seite wird das Beispiel genannt, dass Kundendaten abgegriffen werden könnten. Aus der Sicht eines Dropshippers ergeben sich aber noch ganz andere Szenarien. So kann beispielsweise ein Mitbewerber über die hinterlegten Lager und den damit verbundenen Whitelabel-Dropshipping-Anbietern herausfinden, wer für das Fulfillment  des Shop-Betreibers zuständig ist. Ein Projektnachbau ist somit einfach ohne zeitintensive Recherche zu bewerkstelligen.

Ein anderes denkbares Szenario ist es durch eine Änderung der hinterlegten Payment-Anbieter (Bankverbindung, PayPal, etc.) die Kundenzahlungen auf eigene Konten um zu dirigieren.

Eine Analyse ergab, dass ca. 50 Prozent der Magento-Installationen betroffen sind. Dabei ist unser eigener Crawler auf der Suche nach Magento-Installationen zufällig vorgegangen, so dass diese Zahl gegebenenfalls nicht repräsentativ für die gesamte Internet-Landschaft anzusehen ist.

An dieser Stelle ist die Bitte an alle Shopbetreiber die Version des eingesetzten Magento-Shops zu überprüfen und gegebenenfalls die entsprechenden Schritte für ein Update einzuleiten. Bereits die Community-Version 1.7.0.2 ist nicht mehr von dieser kritischen Schwachstelle betroffen.

This entry was posted in eCommerce, Security. Bookmark the permalink.

One Response to Magento-Shopsysteme einfach ausspionieren

  1. Sarah says:

    Ein Hauptproblem bei Magento ist eigentlich, dass die meisten Shopbesitzer haben damals gehört, Magento ist gut. Haben es sich installieren und ggf. anpassen lassen und weitere Sachen interessieren hier nicht.
    Ich hab gerade mal bei einem bekannten nachgefragt, der hat sein Shop seit 2009 nicht mehr updaten und sonst was lassen, es würde alles laufen! Also die wenigsten haben da ein IT-Experten hintersitzen, gerade die kleinen Shops.