LimeSoda Blog ☰ Zeige Kategorien

Sicherheit von Magento Online-Shops – ein Status Quo

In den letzten Tagen gab es vermehrt Meldungen über Sicherheitslücken in Magento Online-Shops. Viele große deutsch- und englischsprachige News-Seiten haben über in Gefahr befindliche Zahlungsinformationen – im Speziellen Kreditkartendaten – berichtet. Viele dieser Links haben uns erreicht und wir möchten mit diesem Blogpost etwas Klarheit in diese Sache bringen.

Die wichtigste Frage, die diese Berichte aufwerfen und hier erklärt wird: Wie steht es aktuell um die Sicherheit von Magento Online-Shops?

Worum geht es in diesen Berichten?

In den Berichten ist von Datenklau und dem Stehlen von Zahlungsinformationen die Rede. Sucuri, ein weltweit agierender Sicherheitsdienstleister, von dem der Original-Artikel „Magento Platform Targeted By Credit Card Scrapers“ stammt berichtet über eingeschleusten Code, mit welchem Angreifer die POST-Daten (das sind jene, die beim Absenden eines Formulares übermittelt werden) mitschneiden können. In einer zweiten Variante wird ebenso Code eingeschleust über den die gesamte Zahlungstransaktion mitgelesen werden kann.

Das ist natürlich ernst zu nehmen, denn das Entwenden von Daten und Zahlungsinformationen ist ein heikles Thema für Online-Shops. Ob die Lücken aus dem Magento Kern oder einer Extension stammen, ist lt. dem Blogpost unklar.

Wichtig zu wissen ist: Es gibt derzeit keine neue Magento Sicherheitslücke.

Update 02.07.2015: Via Twitter hat Sucuri nun auch bestätigt, dass es sich nicht um einen 0-Day Exploit handelt, sondern aus einem ungepatchten Shop.

Update 03.07.2015: Mittlerweile gibt es auch ein offizielles Statement von Ben Marks, Evangelist bei Magento, dazu der klarstellt, dass es keine neue Schwachstelle in Magento gibt.

Der Angriffsvektor, d.h. auf welche Art und Weise der Code im Beispiel eingeschleust wurde, ist ebenfalls noch nicht bekannt. Von Sucuri als Sicherheitsdienstleister ist jedenfalls zu erwarten, dass sie eine mögliche neue Sicherheitslücke zuerst an Magento berichtet wird, um Magento die Gelegenheit zu geben einen Patch herauszubringen, bevor der Angriffsvektor veröffentlicht wird.

Shoplift

Bereits im Februar dieses Jahres wurde von Magento ein Patch veröffentlicht, der eine zuvor entdeckte (und nicht veröffentlichte) Sicherheitslücke in Magento-Shops geschlossen hat die es ermöglichte, die volle Kontrolle über den Magento-Shop zu übernehmen. Magento hat über mehrere E-Mails und Admin-Notifications (im Magento Backend) über die Dringlichkeit informiert und auch Matthias hat im LimeSoda Blog „Remote-Code-Execution-Sicherheitslücke in Magento – jetzt schließen!“ darüber berichtet. Im April wurde der Angriffsvektor veröffentlicht und seit 23. April wurden auch die ersten Angriffe auf ungepatchte Shops verzeichnet. Kontrollieren Sie, ob der Patch SUPEE-5344 in Ihrem Shop installiert ist.

Laut dem Shoplift Bug Tester von Byte sind derzeit (Stand 1. Juli 2015) weltweit noch immer 50.223 Magento Shops ungepachted. Diese Shops sind also nach wie vor ein attraktives Ziel.

Ist mein Shop sicher?

Folgende Punkte sind für die Beurteilung der Sicherheit ihres Online-Shops relevant:

  • Aktuelle Magento-Version: Läuft Ihr Shop auf der derzeit aktuellen Magento Community Edition 1.9.1.1 (1.9.2 soll in den kommenden Wochen erscheinen) bzw. auf Magento Enterprise Edition 1.14.2?
  • Patches: Wenn Ihr Shop nicht auf einer der aktuellen Versionen läuft, müssen alle relevanten Sicherheitspatches installiert sein. Für die Community Edition 1.9.1.1 ist der Patch SUPEE-5344 bereits inkludiert, SUPEE-5994 muss installiert werden! In der aktuellen Enterprise Edition sind alle aktuellen Patches enthalten. LimeSoda installiert alle relevanten Sicherheitspatches im Rahmen des Servicevertrages übrigens automatisch.
  • Zahlungsdaten: Sie speichern keine bzw. nur so viele Zahlungsdaten wie notwendig im Online-Shop (und diese verschlüsselt). Für Zahlungen, besonders Kreditkartentransaktionen, verwenden Sie einen Payment Service Provider (PSP) oder – das ist die weitaus aufwendigere Variante – Sie speichern die Kreditkartendaten in Ihrem Shop selbst UND verfügen über die notwendige PCI-Compliance.
  • Server-Setup: Entspricht ihr Server-Setup den Best-Practice Anforderungen für Magento-Shops? Darunter fallen korrekt eingerichtete Webserver und Webserver-User, Dateirechte, Datenbank-User, die Verwendung von HTTPS, einer Firewall und vieles mehr.
  • Allgemeine Sicherheitstipps: Darüber hinaus gelten für jede Web-Anwendung (Magento, Typo3, WordPress,…) grundlegende Sicherheitsanforderungen, die in meinem Blogpost „Sicherheit für Web-Anwendungen“ zu finden sind.

Update 03.07.2015: Magento weißt in seinem aktuellen Statement in dieser Sache auch speziell auf die folgenden Maßnahmen hin:

  • Verwendung von starken Admin-Passwörtern sowie das regelmäßige Ändern der Admin-Passwörter. Schwache Passwörter können einfach für Schwachstellen und Schadcode ausgenutzt werden.
  • Den Zugriff auf den Magento Connect Download Manager und Downloader auf Produktionsumgebungen auf sichere IP’s beschränken.
  • Die Liste der Extensions sowie Magento Logs regelmäßig auf verdächtige neue Einträge kontrollieren.

Bei der Vergabe von entsprechend starken Passwörtern ist das Sicherheitsbewusstsein jedes einzelnen Admin-Users gefragt. Ich empfehle die Verwendung eines Passwort-Managers wie z.B. KeePass, um entsprechend komplexe Passwörter verwalten zu können.

Sicherheitsprobleme, die das Betriebssystem, den Webserver oder die PHP-Version betreffen, sind nicht Magento-spezifisch sondern können alle Web-Anwendungen betreffen.

Wir möchten uns und Sie nicht in falscher Sicherheit wiegen, aber wenn Sie die obenstehenden Punkte alle mit „Ja“ beantworten können, ist ihr Magento-Setup wahrscheinlich in Ordnung und Sie und Ihr Provider bzw. Ihre Magento-Agentur haben ihr Bestes getan.

Wie und wo gibt es weitere Informationen?

Magento arbeitet derzeit an der Errichtung einer „Alert Registry“ um in Zukunft zielgerichteter und rascher auf Sicherheitsthemen/-vorfälle eingehen zu können. Aktuell sind das Magento Blog und der Magento Twitter Account sehr gute Quellen.

Der Original-Artikel „Magento Platform Targeted By Credit Card Scrapers„, der auch Anlass zu diesem Blogpost gab, wurde am 23. Juni im Sucuri Blog veröffentlicht.

Weitere Informationen

Wenn Sie noch genauere Informationen benötigen oder gerne eine detaillierte Beurteilung der Sicherheit Ihres Online-Shops hätten, kontaktieren Sie uns!

 

Kommentare

Hinterlasse einen Fingerabdruck für die Ewigkeit: Ein Kommentar bei LimeSoda!

(*) Pflichtfeld

Bewirb dich bei uns!

LimeSoda.
Digitalagentur in Wien.

Bewirb dich jetzt!
Anna Völkl

Verpasse nicht den nächsten Blog-Post von Anna!

Jetzt zum LimeSoda-Newsletter anmelden