Nyhet -

Tusentals Magento-sajter sårbara för gamla säkerhetshål

Magento är världens största e-handelsplattform och används av över 250 000 onlinebutiker världen över. En allvarlig sårbarhet eller storskalig attack skulle med andra ord kunna få stora konsekvenser för de e-handlare som använder Magento. Det svenska säkerhetsföretaget Detectify har under de senaste åren lagt en hel del arbete på att leta efter sårbarheter i Magento. Igår presenterades en rapport där Detectify analyserat hela 30 000 onlinebutiker som använder Magento. Till att börja med kan vi konstatera att över hälften av dem inte kör HTTPS som standard, vilket som vi vet öppnar för att en angripare kan ”avlyssna” kommunikation och snappa upp till exempel kreditkortsuppgifter.

Detectify har därefter skannat alla webbplatserna för att kontrollera om de är tätade mot tre allmänt kända sårbarheter som finns i äldre versioner av plattformen. Trots att alla dessa sårbarheter upptäcktes för minst ett år sedan, visade det sig att väldigt många onlinebutiker fortfarande är sårbara. Detectify pekar också på att man i sin analys valt ut de populäraste webbplatserna i världen utifrån Alexa-rankningen – det rör sig med andra ord inte om några små hobbybutiker där uppdateringar eller säkerhetstestning kan ha glömts bort utan om aktiva och välkända aktörer.

Tre kända sårbarheter fortfarande vanliga

Den första sårbarheten som undersöktes var förekomsten av konfigurationsfilen /app/etc/local.xml som innehåller den dolda sökvägen till administratörspanelen samt databaslösenordet i klartext. Eftersom det är en .xml-fil i webbroten är standardbeteendet för en webbserver att visa den här filen när den begärs. Magento har löst detta genom att även inkludera en .htaccess-fil för att hindra obehöriga från att komma åt filen.

Problemet är att .htaccess endast stöds av Apache medan Magento kan installeras på andra webbservrar, till exempel Nginx, som ignorerar .htaccess-filen och därför visar konfigurationsfilen för alla som begär den. Detta förfarande ändrades för flera år sedan men trots det hittade Detectify ungefär 500 sårbara onlinebutiker – vilket med andra ord betyder att dessa installationer inte uppdaterats på ett bra tag. Även när den här filen existerade, visade Magento en automatisk varning om den var på väg att publiceras offentligt – sårbarheten öppnas alltså först när en admin ignorerar en säkerhetsvarning.

Den andra sårbarheten hittar vi i /RSS order/NEW/new som är ett API för orderhistorik. Problemet är att det i sårbara versioner inte fanns någon autentiseringsserversida alls. Vem som helst kunde skicka en förfrågan till den, utan att ens behöva logga in. De data som exponerades alltså orderhistorik – vilket bland annat innefattade kunders namn och adresser, information om vem som köpt vad och när och total ordersumma. Denna sårbarhet patchades redan 2015, men trots det är 1500 av de analyserade webbplatserna sårbara för den. Detectify betonar att med tanke på att det rör sig om 1500 relativt populära webbbutiker, är den totala mängden offentligt tillgänglig kunddata enorm, och öppnar för en storskalig dataläcka med känsliga uppgifter.

Den tredje sårbarheten handlar om att adminpanelen går att nå genom att begära något som är så enkelt att gissa som /admin. Eftersom människor har en tendens att välja svaga lösenord eller använda samma överallt kan detta leda till en farlig situation.Omkring 7000 av de analyserade webbbutikerna svarade med att visa adminpanelen när Detectifys skanning begärde /admin – vilket är mer än var femte webbplats. Att exponera adminpanelen genererar dessutom en säkerhetsvarning i Magento. Detta innebär skrämmande nog att väldigt många admins avsiktligt har ignorerat även den här säkerhetsvarningen.

De flesta CMS är sårbara

Detectify menar att säkerhetsproblemen inte är begränsade till Magento, utan att alla CMS-plattformar som kräver manuell uppdatering av användarna har liknande problem. Att två av de tre sårbarheterna de facto kräver att användaren ignorerar och klickar bort säkerhetsvarningar är givetvis mycket allvarligt och tyder på antingen grav ignorans eller okunskap (även om det bästa givetvis vore att Magento införde tvingande åtgärder istället för att bara visa en varning).

Om du använder Magento är det med andra ord mer än klokt att med jämna mellanrum granska din egen webbplats för att kontrollera eventuella sårbarheter. Se också till att alltid uppdatera till nya versioner (schemalägg det om du vet med dig att du är glömsk). Du kan även köra någon form av webbplatsskanning som automatiskt letar igenom din webbplats efter sårbarheter.

Ämnen

  • Data, Telekom, IT

Kategorier

  • https
  • detectify
  • e-handelsplattform
  • magento
  • binero
Fyll i din epostadress för att följa Binero

När du väljer att skapa ett konto och följa ett nyhetsrum kommer dina personuppgifter behandlas av oss och av ägaren av nyhetsrummet för att du ska kunna motta nyheter och uppdateringar enligt dina bevakningsinställningar.

För att läsa mer om detta, var vänlig läs vår Integritetspolicy som berör vår behandling av dina personuppgifter, och Integritetspolicy för Contacts som berör behandlingen av dina personuppgifter från ägaren av nyhetsrummet du följer.

Vänligen notera att våra Användarvillkor gäller alla våra tjänster.

Du kan dra tillbaka ditt samtycke när som helst genom att avregistrera dig eller genom att ta bort ditt konto.
Kolla din inkorg

Mejl skickat till __email__. Klicka på länken i mejlet för att följa Binero.

Okej