Beheer

Security
creditcard

300 duizend Magento-sites kwetsbaar voor ernstig SQL-lek

Hackers kunnen administrator-accounts overnemen en bijvoorbeeld creditcardgegevens buitmaken. 

29 maart 2019

Hackers kunnen administrator-accounts overnemen en bijvoorbeeld creditcardgegevens buitmaken. 

Een ernstige kwetsbaarheid in het Magento e-commerce platform vormt een risico voor zo’n 300 duizend webshops. Hackers kunnen via een SQL-infectiebug een administrator-account in handen krijgen, met alle gevolgen van dien. Een update is nu beschikbaar.

Magento is een populair, open-source e-commerce platform van Adobe. Gebruikers kunnen kiezen uit Magento Open Source (de php-versie) en Magento Commerce, een betaalde cloud-variant. De software wordt gebruikt door webshops, die nu gevaar lopen.  

Proof-of-concept is gedemonstreerd

Beveiligingsonderzoekers van Sucuri schrijven in een blogpost over PRODSECBUG-2198, een SQL-infectiebug die kwaadwillenden zonder authenticatie kunnen misbruiken. Een hacker die weet hoe hij gebruikersnamen en wachtwoord-hashes kan downloaden en kraken, kan de controle overnemen van een administratoraccount. Als dat gelukt is, kan hij bijvoorbeeld een achterdeurtje in de software installeren of creditcardgegevens skimmen.

Sucuri claimt met succes een proof-of-concept van de kwetsbaarheid te hebben gemaakt. Eén van de beveiligingsonderzoekers noemt de bug een ‘serieuze kwetsbaarheid’ omdat hackers de aanval kunnen automatiseren en zo snel en eenvoudig veel webshops kunnen infecteren. Een malwareonderzoeker van  antivirusmaker Malwarebytes zegt tegen Arstechnica dat kwaadwillenden vast en zeker wachten op het proof-of-concept zodat ze de bug kunnen misbruiken.

Installeer de update

Magento-ontwikkelaars hebben PRODSECBUG-2198 deze week gedicht, zo is te lezen in een blog. Een update is nu beschikbaar. Magento heeft ook tientallen andere beveiligingslekken opgespoord en gedicht. Wie die fixes wil doorvoeren, moet zijn site updaten naar Magento Commerce 2.3.1 of Magento Open Source 2.2.8.

Het is overigens niet de eerste keer dat Magento getroffen is door zo'n bug. Vorig jaar ontdekte een Nederlandse onderzoeker dat 7000 webshops met Magento de betaalgegevens van hun klanten niet privé hielden. Geavanceerde malware onderschepte de informatie 

Lees meer over
1
Reacties
NumoQuest 07 april 2019 06:27

Wanneer we dit soort 'belevingen' belezen, weet je dat er gewoon in de basale professionele processen en procedures iets grondig mis aan het gaan is. We hebben het dan echt niet over iets ingewikkelds, we hebben het dan echt niet over 'weer' een commercieel antwoord. We hebben het dan over een kwaliteits ding namelijk

Gewoon je werk doen en weten dat jouw werk dat je produceert ook goed getest moet worden aan de hand van een eenvoudige checklist. Cybercrime is niets nieuws. De manieren waarop deze plaats nemen kunnen veranderen. Maar als je als digi-producer niet in staat bent de awareness op te brengen dat je baan niet sec programmeren is maar ook oog hebben voor de cyber-actualiteit, moet je even een momentje voor jezelf nemen.

Cybercrime, hacking, en vooral bij vervaardigen van payment software, verdient extra aandacht als standaard.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.