Dreiste Magento-Hintertür tarnt sich als Sicherheitspatch

Seit einem Jahr stopfen viele Admins eine kritische Lücke im Online-Shop-CMS Magento nicht. Jetzt tun die Hacker so, als sei der entsprechende Patch auf dem Server eingespielt – indem sie ihre Hintertür als eben jenen Patch tarnen.

In Pocket speichern vorlesen Druckansicht 27 Kommentare lesen
Dreiste Magento-Hintertür tarnt sich als Sicherheitspatch

(Bild: BraNewbs / heise Security, CC BY-SA 2.0)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Die zu eBay gehörige, quelloffene Shop-Software Magento ist ein beliebtes Ziel für Angreifer, die es auf die Zahlungsdaten von Online-Käufern abgesehen haben. Eine ein Jahr alte Sicherheitslücke in der Software wird nach wie vor missbraucht, um die Online-Shops zu knacken. Wie Sicherheitsforscher nun herausgefunden haben, verstecken die Angreifer ihren Schadcode dabei mitunter in Dateien, die so tun als sein sie eben jener Patch, der die Lücke eigentlich schließen soll.

Einmal über die alte und ungepatchte Sicherheitslücke auf dem Server angekommen, können die Angreifer die Magento-Installation komplett übernehmen. Um festen Fuß zu fassen, installieren sie dazu eine PHP-Hintertür und tarnen diese mit einem Dateikopf, der bei oberflächlicher Betrachtung den Anschein erweckt, es handele sich bei dem Schadcode um einen Sicherheitspatch:

/**

Mage Patch SUPEE-5344 – initial check if not compromised
@author Magento Core Team <core@magentocommerce.com>

*/

SUPEE-5344 bezeichnet hierbei das Sicherheitsupdate, welches normalerweise die Lücke schließen würde. Auch die Autorenzeile stimmt mit einer Datei von den offiziellen Magento-Entwicklern überein. Da enden allerdings die Übereinstimmungen. Der Rest der Datei sind 160 Zeilen Hintertür-Code, der die Zahlungsdaten der Shop-Kunden abgreift und an einen Server der Angreifer schickt.

Gar nicht so supi: Der falsche SUPEE-5344-Patch

(Bild: Sucuri)

Die Forscher der Sicherheitsfirma Sucuri, die diese perfide Methode entdeckten, beobachten verstärkt Angriffe auf Magento. Ihrer Ansicht nach verlegen sich immer mehr Angreifer, die zuvor auf das Hacken von WordPress- und Joomla-Installationen spezialisiert waren, auf die Shop-Software. Wen wundert's, wenn eine Lücke, die komplette Kontrolle über einen Magento-Shop erlaubt, vielfach für Monate klafft, weil der entsprechende Patch nicht installiert wird. (fab)