Seit einem Jahr stopfen viele Admins eine kritische Lücke im Online-Shop-CMS Magento nicht. Jetzt tun die Hacker so, als sei der entsprechende Patch auf dem Server eingespielt – indem sie ihre Hintertür als eben jenen Patch tarnen.

Die zu eBay gehörige, quelloffene Shop-Software Magento ist ein beliebtes Ziel für Angreifer, die es auf die Zahlungsdaten von Online-Käufern abgesehen haben. Eine ein Jahr alte Sicherheitslücke in der Software wird nach wie vor missbraucht, um die Online-Shops zu knacken. Wie Sicherheitsforscher nun herausgefunden haben, verstecken die Angreifer ihren Schadcode dabei mitunter in Dateien, die so tun als sein sie eben jener Patch, der die Lücke eigentlich schließen soll.
Der gefakte SUPEE-5344-Patch

Einmal über die alte und ungepatchte Sicherheitslücke auf dem Server angekommen, können die Angreifer die Magento-Installation komplett übernehmen. Um festen Fuß zu fassen, installieren sie dazu eine PHP-Hintertür und tarnen diese mit einem Dateikopf, der bei oberflächlicher Betrachtung den Anschein erweckt, es handele sich bei dem Schadcode um einen Sicherheitspatch:

/**

Mage Patch SUPEE-5344 – initial check if not compromised
@author Magento Core Team

*/

SUPEE-5344 bezeichnet hierbei das Sicherheitsupdate, welches normalerweise die Lücke schließen würde. Auch die Autorenzeile stimmt mit einer Datei von den offiziellen Magento-Entwicklern überein. Da enden allerdings die Übereinstimmungen. Der Rest der Datei sind 160 Zeilen Hintertür-Code, der die Zahlungsdaten der Shop-Kunden abgreift und an einen Server der Angreifer schickt.
Eldorado für Hacker: Magento ist das neue WordPress

Die Forscher der Sicherheitsfirma Sucuri, die diese perfide Methode entdeckten, beobachten verstärkt Angriffe auf Magento. Ihrer Ansicht nach verlegen sich immer mehr Angreifer, die zuvor auf das Hacken von WordPress- und Joomla-Installationen spezialisiert waren, auf die Shop-Software. Wen wundert's, wenn eine Lücke, die komplette Kontrolle über einen Magento-Shop erlaubt, vielfach für Monate klafft, weil der entsprechende Patch nicht installiert wird