Die Sicherheitslücken im Überblick
Die aufgeführten Sicherheitslücken bestehen in allen Versionen der Magento Community Edition und Enterprise Edition (Magento 1.6.x.x-1.9.1.1). Auch wenn Sie Ihr Magento-Shopsystem also auf der aktuellsten Version betreiben, sind Sie davor nicht sicher. Die Installation des Magento Sicherheitsupdates SUPEE-5944 ist daher unumgänglich.
Lücke 1: Offenlegen des Anmeldepfades
Durch die „Admin Path Disclosure“-Lücke kann ein Angreifer die Admin Login-Seite durch den direkten Aufruf eines Moduls, unabhängig von der URL erreichen. Dadurch wird die URL der Admin-Login-Seite offengelegt, wodurch beispielsweise ein anschließender Brute-Force-Angriff einfach ausgeführt werden kann.
Lücke 2 und Lücke 3: Abrufen von Adressinformationen
Durch eine Sicherheitslücke im Check-Out-Prozess ist es einem Angreifer möglich, Adressinformationen durch die sequenzielle Eingabe von IDs abzurufen. Dadurch können sowohl der Name, die Adresse, als auch die hinterlegte Telefonnummer der vorhandenen Datensätze abgerufen werden.
Durch eine weitere Lücke (aktuell wohl die schwerwiegendste) können neben Adressdaten (Name, Adresse, Telefon) auch bisherige Bestellungen (Artikel, Menge) und die verwendete Bezahlmethode abgerufen werden. Der Angriff kann vollständig automatisiert werden und somit können alle Kundendatensätze abgefragt werden.
Alle im Shop gespeicherten Adressdaten von Kunden sind somit in akuter Gefahr.
Lücke 4: Ausgabe von Serverpfaden
Durch die Angabe von fiktiven Bild-URLs können Fehlerausgaben erzeugt werden, wodurch interne Serverpfade ausgegeben werden. Diese Lücke ist unabhängig von den Einstellungen des Systems oder des Servers.
Lücke 5: Code-Injection über Tabellenkalkulation
Über eine weitere Lücke ist es aktuell möglich, Daten zu übergeben, welche nach dem Export und Ausführung in einer Tabellenkalkulation (z.B. Microsoft Excel) einen Angriff ermöglichen. Blendet ein User die Warnmeldung einer infizierten Tabellenkalkulations-Datei aus, kann auf diese Weise schadhafter Code ausgeführt werden. Dadurch können Benutzerdaten beispielsweise an eine Website übermittelt werden.
Lücke 6: Cross-site Scripting über Authorize.net
Ein Angreifer kann eine komplette User-Session übernehmen, sollte ein User auf einen kompromittierten Link klicken. Dadurch kann sich der Angreifer gegenüber dem Shop als derjenige User ausgeben, dessen Session übernommen wurde. Der Angreifer gelangt dadurch an alle vom Kunden hinterlegten Daten im Kundenbackend und sogar mit der übernommenen Session Einkäufe tätigen.
Lücke 7: Malware über Shoperweiterungen
Einem Angreifer ist es aktuell möglich, eine eigene Shoperweiterung zu publizieren, welche nach der Installation Dateien auf dem Server überschreiben kann. Dadurch ist es einem Angreifer möglich, große Mengen an Code direkt in das System einzuschleusen.
Magento SUPEE-5994 installieren
Aufgrund der aktuellen Häufung an kritischen Sicherheitsupdates haben wir für Sie eine kurze Anleitung erstellt, wie Sie Magento SUPEE Patches per FTP selbst einspielen können: How To: Magento Sicherheitsupdates ohne SSH-Zugang installieren