Was tun gegen die neueste Sicherheitsanfälligkeit: gestohlene Kreditkartendaten?

11

Nachdem die Nachricht vor einigen Tagen veröffentlicht wurde, habe ich nicht viel - und keine offizielle Erklärung - über die neueste Sicherheitsanfälligkeit gehört. Sucuri sagt, dass es möglich ist, Kreditkarteninformationen oder sogar alle $_POSTDaten einschließlich Administratorkennwörter und dergleichen zu erhalten.

Ich hatte noch keinen Fall, in dem ein Client gehackt wurde, möchte aber nicht warten, bis dies geschieht. Hat jemand schon einen Patch gesehen?

security  magento-ce 
simonthesorcerer
quelle
Angesichts des neuesten Sucuri-Artikels könnten Sie auch an den Antworten von @Ben Lessani (Sonassi) interessiert sein: magento.stackexchange.com/a/72697/231
Anna Völkl

Antworten:

8

Welche Art von Patch oder offizieller Erklärung erwarten Sie? Der Blog-Beitrag besagt nur, dass eine Webanwendung kompromittiert werden kann, sobald der Angreifer Zugriff auf den Code hat. Das gilt für jede Webanwendung. Der Begriff Magento ist dort vollständig austauschbar. Derzeit haben sie keine Ahnung, wie der betroffene Host kompromittiert wurde. Die offene Tür in den angegebenen Beispielen könnte alles sein, von Serverproblemen bis zu "Schicht 8".

Solange sie so vage bleiben und keine wertvollen Informationen liefern, ist alles Marketing wie das Verbreiten ihres Firmennamens, Wellen schlagen, sich als Sicherheitsexperten positionieren usw. Kombinieren von Schlagworten wie "stehlen" "Kreditkarte" " Magento "macht offensichtlich eine gute Geschichte.

Was wir noch aus diesem Beitrag lernen können:

  • Überprüfen Sie Ihre Codebasis regelmäßig auf unerwartete Änderungen.
  • Überlassen Sie die Verarbeitung von Zahlungsdaten einer PSP.

Update: Es gibt jetzt eine offizielle Erklärung von Ben Marks .

mam08ixo
quelle
Ja, ich weiß, dass die Quelle ziemlich unspezifisch ist. Ich weiß auch nicht, ob sie Magento / eBay wegen dieses Problems kontaktiert haben. Wie auch immer, es ist immer noch möglich (und ist in den letzten Monaten zweimal vorgekommen), dass es sich um einen Kernfehler handelt, und ich hätte zumindest eine Aussage wie "Wir untersuchen" oder "Nicht unsere Schuld, irgendein Modul" erwartet.
Simonthesorcerer
Ich bin damit einverstanden, dass die Hauptursache auch eine der Tausenden von Erweiterungen oder eine (nicht gepatchte) Magento-Version sein kann. Immer noch zu wenig Informationen, um imho gezielte Maßnahmen zu ergreifen.
mam08ixo
3

Solange Ihre Magento-Version auf dem neuesten Stand ist, haben Sie alle neuesten Patches installiert und Ihr Server erfüllt die bewährten Methoden für die Einrichtung (Dateiberechtigungen, keine andere Software / Website, Firewall usw.). Dies ist alles, was Sie jetzt tun können .

Ich denke, es ist wichtig zu erwähnen, dass es noch keinen bestimmten Angriffsvektor gibt:

Wie funktioniert der Angriff? Wir untersuchen immer noch die Angriffsmethoden. Es scheint jedoch, dass der Angreifer eine Sicherheitsanfälligkeit im Magento-Kern oder einem weit verbreiteten Modul / einer Erweiterung ausnutzt.

Bearbeiten:

Wie in meinem Kommentar oben erwähnt, können Sie auch die ausführliche Antwort von Ben Lessani auf eine andere verwandte Frage lesen, die einige Hintergrundinformationen enthält: /magento//a/72697/231

Anna Völkl
quelle
2

Nicht (nur) Magento

Ich habe viele andere Websites gesehen, die auf diese Weise gehackt wurden und bösartigen Code in die Codebasis eingefügt haben, und zwar nicht nur in Magento. Und es gibt viele Varianten: Skripte, die POST-Daten stehlen, Skripte, die XSS hinzufügen, Skripte, die versuchen, Root-Passwörter zu stehlen, Skripte, mit denen eingehende Anrufe Daten verarbeiten können (für Bitcoin-Mining, um Spam-E-Mails von diesem Server zu senden) usw.

In einigen Fällen wurden die FTP-Anmeldeinformationen (durch Viren / Malware) von einem Client-Computer gestohlen, in anderen Fällen wurde ein Exploit in der Anwendung verwendet.

Es gibt viele andere Anwendungen, die über Exploits Zugriff auf den Server gewähren können, beispielsweise WordPress.

Es gibt nur einen Fall, in dem Magento schuld wäre und eine Aktion von Magento zu erwarten ist: Wenn die ausgenutzte Anwendung Magento der neuesten Version und vollständig gepatcht wäre.

Es besteht also nur eine geringe Wahrscheinlichkeit, dass dieser eine hervorgehobene Fall in erster Linie durch einen Fehler in Magento verursacht wurde. Deshalb hört man nichts von Magento.

Das Neue hier ist, dass der eingefügte Code sehr spezifisch auf Magento abzielt und die Codearchitektur und -prinzipien von Magento verwendet.

Was ist zu tun

Geben Sie nun eine Antwort auf Ihre Frage "Was tun?"

  • Führen Sie niemals zwei verschiedene Anwendungen auf derselben Serverinstanz
    wie WordPress + Magento aus. Manchmal läuft WordPress wie unter www.magentoshop.com/blog/ oder Magento unter www.wordpresswebsite.com/shop/. Tu das nicht. Exploits in WordPress können dem Angreifer Zugriff auf Ihre Magento-Daten gewähren.

  • Verwenden Sie ein Versionskontrollsystem
    Ich verwende GIT und habe dieses auch auf dem Server (schreibgeschützter Zugriff), um die Website bereitzustellen. Dies gibt mir auch einen schnellen Einblick in Änderungen am System durch Ausführen git status.

  • Verwenden Sie niemals FTP, nur SFTP, und speichern Sie niemals Passwörter, die
    ich oben erwähnt habe, dass FTP-Passwörter von einem Client-Computer gestohlen wurden. Auch die Verwendung von FTP ist nicht sicher, da Daten unverschlüsselt über das Internet gesendet werden. Verwenden Sie also SFTP und speichern Sie Ihre Passwörter niemals in Ihrer FTP-Anwendung. Seien Sie einfach nicht faul und geben Sie sie jedes Mal ein, wenn Sie eine Verbindung zu Ihrem Server herstellen.

7ochem
quelle
7ochem
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.