Adobe hat ein Sicherheitsupdate für Adobe Commerce und Magento Open Source veröffentlicht, um mehrere Schwachstellen zu beheben, darunter eine kritische, die eine unzulässige Neutralisierung von speziellen Elementen in einem Betriebssystembefehl betrifft, bekannt als „OS Command Injection“. Diese Schwachstelle ermöglicht es Angreifern, beliebigen Code auszuführen, ohne dass Benutzerinteraktion erforderlich ist, wodurch Angreifer Zugang zu Bestellinformationen bekommen können.
Die Schwachstelle, identifiziert als CVE-2024-20720 und entdeckt am 15. Februar 2024, betrifft die Versionen 2.4.6-p3 und früher, 2.4.5-p5 und früher, sowie 2.4.4-p6 und früher von Adobe Commerce. Magento Open Source ist ebenfalls betroffen. Ein Angreifer könnte durch diese Schwachstelle die Kontrolle über ein betroffenes System erlangen.
Der CVSS-Score (Common Vulnerability Scoring System) von 9.1 stuft diese Sicherheitslücke als kritisch ein. Der CVSS-Vektor (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H) verdeutlicht, dass die Schwachstelle über das Netzwerk (AV:N) ausnutzbar ist, der Angriffskomplexität niedrig (AC:L) ist, jedoch hohe Rechte (PR:H) für den Angriff benötigt werden. Benutzerinteraktion ist nicht erforderlich (UI:N), die Auswirkungen sind umfassend (S:C), wobei Vertraulichkeit (C:H), Integrität (I:H) und Verfügbarkeit (A:H) des Systems hochgradig betroffen sind.
Das Sicherheitsteam von Sansec hat nun eine Methode aufgedeckt, mit der Angreifer eine beständige Malware-Präsenz auf Magento-Servern aufrechterhalten, indem sie die oben genannte Sicherheitslücke ausnutzen. Durch die Verwendung eines raffiniert gestalteten Layout-Templates in der Datenbank, das speziell dafür entwickelt wurde, Malware automatisch injiziert wird, stellen Angreifer sicher, dass ihre schädlichen Codes nach einer Bereinigung erneut aktiv werden.
Die Entdeckung betrifft ein XML-Code-Segment, das in der layout_update
-Datenbanktabelle gefunden wurde. Dieser Code ist für die periodische Reinfektion des Systems verantwortlich. Indem die Angreifer den Magento-Layout-Parser mit dem Standardmäßig installierten beberlei/assert
-Paket kombinieren, können sie Systembefehle ausführen. Da der Layout-Block an den Checkout-Warenkorb gebunden ist, wird dieser Befehl ausgeführt, sobald <store>/checkout/cart
aufgerufen wird. In diesem Fall wird sed
verwendet, um eine Hintertür zum (automatisch generierten) CMS-Controller hinzuzufügen. Diese Malware wird nach einer manuellen Bereinigung oder einem Neukompilieren des Magento-Setups erneut injiziert.
Diese spezielle Hintertür ermöglicht eine Fernausführung von Code, die aktiviert wird, indem ein Befehl an /cms/index
gesendet wird. Zusätzlich wurde festgestellt, dass Angreifer diesen Mechanismus genutzt haben, um einen gefälschten Stripe-Zahlungsskimmer zu injizieren, der Zahlungsdaten zu einer externen URL kopiert – in diesem Fall zu einer anscheinend kompromittierten Magento-Store-URL.
Für betroffene Händler empfiehlt Sansec dringend, den eComscan-Scanner einzusetzen, um versteckte Backdoors zu identifizieren. Zudem sollten Magento-Benutzer sicherstellen, dass ihre Installation auf die neueste Version aktualisiert wird, um diese und andere Schwachstellen zu beheben.
Die Entdeckung dieser neuen Angriffsmethode zeigt die Bedeutung einer kontinuierlichen Überwachung und Aktualisierung von E-Commerce-Systemen, um gegen ausgeklügelte Bedrohungen gewappnet zu sein. Die Identifizierung spezifischer Angreifer-IPs ermöglicht zudem eine gezielte Untersuchung und Abwehr weiterer möglicher Sicherheitsbedrohungen.
Adobe empfiehlt allen Nutzern dringend, ihre Systeme auf die neuesten Versionen zu aktualisieren:
- Adobe Commerce: Update auf 2.4.6-p4 oder höher, je nach betroffener Version.
- Magento Open Source: Update auf 2.4.6-p4 oder höher.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: