Fout in Magento maakt websites kwetsbaar voor skimmers

E-commerce-platform Magento bevat een ernstige kwetsbaarheid, waardoor 300.000 websites het risico lopen dat ze geïnfecteerd worden met malware van skimmers. De kwetsbaarheid is al gedicht met een patch, maar deze moet door eigenaars van de websites nog wel geïnstalleerd worden.

Het gaat specifiek om de fout PRODSECBUG-2198, meldt Ars Technica. Dat is een SQL-injectiekwetsbaarheid, die aanvallers kunnen misbruiken zonder zich te moeten authenticeren. Hackers kunnen de fout misbruiken om de controle over te nemen van administrator-accounts. Daarvoor moeten ze wel de gebruikersnamen en wachtwoord-hashes downloaden, en die hashes weten te kraken. Daarna kunnen aanvallers achterdeurtjes of skimming-code installeren.

In de afgelopen zes maanden hebben diverse concurrerende groeperingen geprobeerd commerciële websites te infecteren met JavaScript, dat vervolgens de creditcardgegevens van kopers steelt. De aanvallen zijn het resultaat van exploits van bekende of zero day-kwetsbaarheden. Een ernstige kwetsbaarheid als in een platform gebruikt door 300.000 bedrijven en verkopers zal dan waarschijnlijk ook in het wild misbruikt worden door deze groepen.

“Er is geen twijfel dat kwaadwillenden de patch proberen te reverse engineeren, of wachten op een proof of concept om de fout op grote schaal misbruiken”, stelt Jérôme Segura, lead malware intelligence analyst bij Malwarebytes. “Als het gaat om gehackte Magento-websites, zijn web skimmers het meest voorkomende type infectie die we zien, vanwege hun hoge opbrengsten. We verwachten dan ook een golf aan aanvallen vanwege deze ernstige kwetsbaarheid.”

Geautomatiseerde aanvallen

Marc-Alexandre Montpas, onderzoeker bij Sucuri, is het eens met die conclusie. “SQL-injecties laten een aanvaller site-argumenten manipuleren om hun eigen commando’s te injecteren in een SQL-database. Via deze kwetsbaarheid kunnen ze gevoelige data verzamelen vanuit de database van een getroffen website, waaronder gebruikersnamen en wachtwoord-hashes.”

“Ongeautoriseerde aanvallen, zoals die in deze specifieke SQL-injectie kwetsbaarheid, zijn erg gevaarlijk, omdat ze geautomatiseerd kunnen worden. Dat maakt het eenvoudig voor hackers om succesvolle, wijdverspreide aanvallen tegen kwetsbare websites op te zetten.”

Websites die zichzelf willen beschermen tegen de kwetsbaarheid kunnen alelen de patch installeren.