Adobe: kritische Sicherheitslücke in Magento Shop System

Am 11. Juni 2024 veröffentlichte Adobe ein wichtiges Sicherheitsupdate für Adobe Commerce, Magento Open Source und das Adobe Commerce Webhooks Plugin. Das Update schließt kritische Sicherheitslücken, die bei erfolgreicher Ausnutzung zur Ausführung beliebigen Codes, zur Umgehung von Sicherheitsmechanismen und zur Eskalation von Benutzerrechten führen können. Diese Schwachstellen betreffen Versionen bis einschließlich 2.4.7 und früher, sowie einige ältere, von Kunden des Extended Support Program genutzte Versionen.

Eine Woche nach der Veröffentlichung der Sicherheitskorrektur berichtet Sansec Forensics Team am 18. Juni 2024 in Ihrem CosmicString Artikel, dass lediglich ein Viertel der betroffenen Adobe Commerce und Magento Shops gepatcht wurde. Diese Verzögerung beim Einspielen der Updates erhöht das Risiko eines massiven Angriffs, da 75 % der Shops weiterhin anfällig sind.

Besondere Aufmerksamkeit erhält die Schwachstelle CVE-2024-34102, bekannt als „CosmicSting“, welche von Sergey Temnikov (alias spacewasp) entdeckt wurde. Diese Sicherheitslücke, die eine XML External Entity (XXE)- und Remote Code Execution (RCE)-Attacke ermöglicht, weist einen CVSS-Score von 9.8 auf und gilt als eine der schwerwiegendsten Bedrohungen für Adobe Commerce und Magento Shops der letzten zwei Jahre. Ursprünglich erlaubte die Schwachstelle unbefugten Zugriff auf private Dateien, was in Verbindung mit einem kürzlich entdeckten Linux-Fehler (iconv) zur vollständigen Kontrolle über betroffene Systeme führen kann.

Die Angriffsmethode benötigt keine Benutzereingriffe und könnte automatisiert ausgeführt werden, was zu globalen Massenhacks führen könnte. Sansec hat die Angriffsmethode verifiziert und warnt, dass böswillige Akteure bereits aktiv daran arbeiten könnten, den Exploit zu nutzen.

Adobe hat für alle betroffenen Versionen entsprechende Patches bereitgestellt. Die Benutzer sollten ihre Systeme dringend auf die neuesten Versionen aktualisieren:

  • Adobe Commerce: bis zu 2.4.7-p1
  • Magento Open Source: bis zu 2.4.7-p1
  • Adobe Commerce Webhooks Plugin: Version 1.5.0

Related Posts

Hard-coded Passwort in Fortra FileCatalyst entdeckt

Am 18. Juni 2024 wurde eine schwerwiegende Sicherheitslücke in den FileCatalyst-Produkten gemeldet (CVE-2024-5275). In den Versionen FileCatalyst Direct 3.8.10 Build 138 und früher sowie FileCatalyst Workflow 5.1.6 Build 130 und früher wurde ein hartcodiertes Passwort entdeckt, das zur Entschlüsselung des Keystores verwendet werden kann. Dies kann dazu führen, dass private Schlüssel für Zertifikate offengelegt werden, was wiederum Angriffe wie “Machine-in-the-Middle” (MiTM) gegen Benutzer ermöglicht.

Read More

Hackerangriff auf Krankenhaus Agatharied

Miesbach: Das Krankenhaus Agatharied wurde Opfer eines Hackerangriffs, wie am 18. Juni 2024 bekanntgegeben wurde. Der Angriff hat zu erheblichen Einschränkungen in der internen und externen Kommunikation geführt. Dank des schnellen Handelns der Mitarbeiter und eines vorhandenen Notfallplans konnte die Patientenversorgung jedoch aufrechterhalten werden. Alle wichtigen Untersuchungen und Behandlungen werden weiterhin durchgeführt.

Read More

Datenleck bei DPD Muttergesellschaft Geopost

Geopost, die Muttergesellschaft von DPD Deutschland, meldete am 19.6.2024 einen IT-Sicherheitsvorfall, bei dem unautorisierte Zugriffe auf eine von der spanischen Tochtergesellschaft betriebene Datenbank festgestellt wurden.

Read More