Magento-webwinkels op grote schaal aangevallen via nieuw beveiligingslek

[Captain Kirk]

Webwinkels die zijn gebaseerd op Magento en Adobe Commerce worden op grote schaal via een nieuw beveiligingslek aangevallen, zo meldt securitybedrijf Sansec. Via de kwetsbaarheid is remote code execution mogelijk of kunnen aanvallers accounts kapen. Een beveiligingsupdate voor het probleem is alleen beschikbaar voor de "pre-release branch" van de webwinkelsofware. Productieversies van Magento en Adobe Commerce moeten het vooralsnog zonder update doen.

De kwetsbaarheid bevindt zich in de REST API van de webwinkelsoftware en laat een ongeauthenticeerde aanvaller uitvoerbare bestanden naar kwetsbare webshops uploaden. Alle versies van Magento en Adobe Commerce tot en met versie 2.4.9-alpha2 bevatten deze "unrestricted file upload" kwetsbaarheid. Daarnaast zijn alle webshops die gebruikmaken van Apache-webserver voor versie 2.3.5 of een aangepaste webserverconfiguratie kwetsbaar voor stored cross-site scripting, waardoor een aanvaller accounts kan overnemen. In het geval van een overgenomen admin-account zou een aanvaller zo toegang tot de webshop kunnen krijgen.

Securitybedrijf Sansec kwam op 17 maart met een waarschuwing voor het probleem, dat het 'PolyShell' noemt. Volgens onderzoekers van het bedrijf vindt sinds 19 maart grootschalig misbruik en zijn PolyShell-aanvallen op 56,7 procent van alle kwetsbare webshops aangetroffen. Bij een autofabrikant trof Sansec een "skimmer" aan, malware die op de betaalpagina allerlei informatie steelt en doorstuurt naar criminelen. Vermoedelijk is de websop via de PolyShell-aanval gecompromitteerd.

 

bron: https://www.security.nl