Rund 237.000 Online-Shops vertrauen auf das Shop-CMS Magento. Es gehört damit zu am meisten verbreiteten entsprechenden Software-Lösungen auf dem Planeten. Unternehmen wie Coca Cola, Burger King oder der Frankfurter Flughafen-Betreiber Fraport vertrauen auf Magento. Seit November 2016 leidet das Shop-CMS allerdings unter einer Sicherheitslücke, die bislang nicht geschlossen wurde. Aufgespürt wurde jene von Bosko Stankovic von der Sicherheitsfirma DefenseCode. Dieser wandte sich zwei Mal an Magento. Nachdem er beim zweiten Mal nicht einmal mehr eine Antwort erhielt, entschied er sich dazu, die Lücke zu veröffentlichen.
Die Magento-Sicherheitslücke im Detail
Um die Sicherheitslücke zu nutzen, ist ein komplizierter Angriff nötig: Ein Produkteintrag muss einem Vimeo-Video hinzugefügt werden. Jene lädt Magento als Preview-Bild herunter. Die Datei muss dann vom System als ungültig erkannt werden. Das CMS bindet sie so zwar nicht ein, aber löscht sie auch nicht. Wenn es einem Angreifer gelingt, die Anfrage nach der ungültigen Datei auf eine eigene URL umzuleiten, kann er im Magento-System einen schadhaften Code ausführen.
Damit die Attacke erfolgreich ist, müssen zwei Dateien in ein identisches Server-Verzeichnis eingeschleust werden. Zum einen eine .htaccess-Datei. Jene erteilt für den Ordner die Freigabe für Skriptausführungen. Und zum anderen eine PHP-Datei. Diese enthält den eigentlichen Angriffscode.
Standard-Konfiguration relativ sicher
Wer die Standard-Konfiguration von Magento nutzt, ist relativ sicher. Ein Angreifer müsste jetzt schon ein User-Konto für das System besitzen. Allerdings genügt einen Account ohne Admin-Rechte. Ein solches Konto kann die standardmäßig aktivierte Option „Secret Key zu URLs hinzufügen“ deaktivieren. Das Ganze funktioniert über den Pfad Admin > Erweitert > Sicherheit. Das System wird für Cross-Site Request Forgeries (CSRF/XSRF) angreifbar.
Ist die Option deaktiviert, kann die Lücke wirklich kritisch werden. Problematischer Weise deaktivieren einige Admins die Option, um so beispielsweise Mitarbeitern URLs direkt ins Backend des CMS senden zu können. DefenseCode rät mit Nachdruck dazu, die Option aktiv zu lassen. Außerdem sollte eine Whitelist mit zulässigen Pfaden definiert werden. Überdies sei es ratsam, in der zentralen .htaccess-Datei „AllowOverride None“ zu vermerken. Auf diese Weise wird unterbunden, dass fremde .htaccess-Dateien die „Secret Key zu URLs hinzufügen“-Option außer Kraft setzen können.
Magento will Lücke patchen
Auf Nachfrage von PC World sowie von Kaspersky reagierte Magento schließlich doch noch offiziell auf die Lücke. Bislang sei jene noch nie für einen Angriff ausgenutzt worden, heißt es von den Machern des Shop-CMS. Nichtdestotrotz werde man die Lücke mit dem nächsten Patch schließen, um zu verhindern, dass es doch dazu kommt. Wann allerdings der Patch veröffentlicht werden soll, steht bislang noch nicht fest.