Beveiligingslek treft 200.000 Magento webwinkels

Magento beveiligingslekDoor een ongepatcht beveiligingslek in de webwinkelsoftware van Magento zijn meer dan 200.000 webshops in gevaar. Het lek biedt aanvallers de mogelijkheid om het systeem van de webshop volledig over te nemen. Magento is van het lek op de hoogte, maar er is nog geen update beschikbaar, aldus beveiligingsbedrijf DefenseCode.

Lek Magento compromitteert volledige systeem

DefenseCode vond de kwetsbaarheid tijdens een audit van de Magento Community Edition. Het lek bevindt zich in het uploaden van bestanden. Via het beveiligingslek kan een aanvaller op afstand bepaalde code uitvoeren. Daarbij kan hij het systeem, inclusief o.a. klantgegevens, creditcardnummers en andere betaalgegevens, volledig compromitteren.

Cross-site request forgery

Een cybercrimineel die het Magento-lek wil misbruiken, kan niet helemaal zonder de beheerder van de webwinkel. Die moet namelijk op een link klikken, zodat er een cross-site request forgery aanval kan worden uitgevoerd. De aanvaller kan deze aanvalsvector vervolgens gebruiken om willekeurige code uit te voeren en de kwetsbaarheid uit te buiten.

Geen Magento update

Nadat DefenseCode het Magento beveiligingslek aantrof, hebben zij Magento daar in november 2016 over ingelicht. Zij bevestigden de kwetsbaarheid. Toch bleef een update van de software uit. Op 11 april 2017 probeerde DefenseCode nogmaals te benaderen, maar hier werd niet meer op geregeageerd.

Het beveiligingsbedrijf besloot daarom het lek bekend te maken. Zij adviseren beheerders om de optie “Add Secret Key to URLs” te gebruiken, zodat de primaiere aanvalsvector via cross-site request forgery kan worden voorkomen. Daarnaast wordt hen aangeraden het om .htaccess-bestanden in bepaalde directories niet toe te staan. Met deze tweede maatregel kan worden voorkomen dat code wordt uitgevoerd via het uploaden van bestanden.

Over Kim Moreau

Kim Moreau is na haar studie journalistiek als blogger op verschillende platformen aan de slag gegaan. Momenteel richt zij zich met name op technologie. Voor VPNgids houdt zij met name online privacy en security gerelateerd nieuws bij.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *