2.000 Magento Onlineshops gehackt

Die Sicherheitsexperten von Sansec Securities berichten, dass fast zweitausend Onlineshops, die die E-Commerce-Plattform Adobe Magento 1 einsetzen, auf der ganzen Welt in der bisher größten dokumentierten Kampagne gehackt wurden. Der als „CardBleed“ bezeichnete Angriff war ein typischer Magecart-Angriff: Ein injizierter bösartiger Code würde die Zahlungsinformationen der Shopbesucher abfangen. In den untersuchten Geschäften lief Magento Version 1, das im vergangenen Juni als End-of-Life angekündigt wurde.

Das Sansec-Früherkennungssystem, das den globalen E-Commerce-Raum auf Sicherheitsbedrohungen überwacht, erkannte 1904 verschiedene Magento-Geschäfte mit einem einzigartigen Keylogger (Skimmer) auf der Kassenseite.

Diese automatisierte Kampagne ist bei weitem die größte, die Sansec seit Beginn der Überwachung im Jahr 2015 identifiziert hat. Der vorherige Rekord lag bei 962 gehackten Geschäften an einem einzigen Tag im Juli letzten Jahres. Das massive Ausmaß des Vorfalls an diesem Wochenende verdeutlicht die zunehmende Raffinesse und Rentabilität des Web-Skimming. Kriminelle haben ihre Hackertätigkeit zunehmend automatisiert, um Web-Skimming-Programme in so vielen Geschäften wie möglich durchzuführen.

Sansec schätzt, dass am Wochenende Zehntausenden von Kunden ihre privaten Daten über einen der kompromittierten Läden gestohlen wurden. Viele geschädigte Geschäfte haben keine Vorgeschichte von Sicherheitsvorfällen.

Dies deutet darauf hin, dass eine neue Angriffsmethode verwendet wurde, um Server-(Schreib-)Zugriff auf all diese Geschäfte zu erhalten. Während Sansec den genauen Vektor noch untersucht, könnte diese Kampagne mit einem kürzlich erfolgten Magento 10day (Exploit) zusammenhängen, der vor einigen Wochen zum Verkauf angeboten wurde.

Der Benutzer z3r0day kündigte in einem Hacking-Forum an, eine Magento 1 „Remote Code Execution“-Exploit-Methode, einschließlich eines Anweisungsvideos, für $5000 zu verkaufen. Angeblich ist kein vorheriges Magento-Admin-Konto erforderlich. Der Verkäufer z3r0day betonte, dass – da Magento 1 End-Of-Life ist – von Adobe keine offiziellen Patches zur Behebung dieses Fehlers zur Verfügung gestellt werden, wodurch dieser Exploit für Ladenbesitzer, die die Legacy-Plattform nutzen, zusätzlichen Schaden anrichtet. Um das Geschäft zu versüßen, versprach z3r0day, nur 10 Kopien des gefährlichen Exploits zu verkaufen.

Laut Live-Daten von Sansec setzen heute noch rund 95.000 Onlineshops die veraltete Version Adobe Magento 1 ein. Sansec rät zur Verwendung eines Malware- und Schwachstellen-Scanners auf dem Server, wie z.B. eComscan von Sansec. Sansec empfiehlt außerdem, alternative Patch-Unterstützung für Magento 1 zu abonnieren, wie sie beispielsweise von Mage One angeboten wird.

Sansec führt eine forensische Untersuchung auf zwei kompromittierten Servern durch. Der/die Angreifer benutzte(n) die IPs 92.242.62.210 (US) und 91.121.94.121 (OVH, FR), um mit dem Magento Admin-Panel zu interagieren, und benutzte(n) die „Magento Connect“-Funktion, um verschiedene Dateien herunterzuladen und zu installieren, darunter eine Malware namens mysql.php. Diese Datei wurde automatisch gelöscht, nachdem der bösartige Code zu prototype.js hinzugefügt wurde.