- Door
- Jeroen Mulder
- geplaatst op
- 1 februari 2016 08:00 uur
Hosters die webshops op hun servers draaien op basis van Magento, doen er goed aan hun klanten te informeren over een securitypatch. Vrijwel alle versies van het e-commerceplatform zijn kwetsbaar in het registratieformulier voor klanten van de shop. Door middel van een XSS (cross site scripting)-bug kunnen hackers de site overnemen en zelfs de server waarop de site draait.
Volgens Sucuri gaat het om vrijwel alle versies tot aan de huidige 1.9.2.3 Community Edition en 1.14.2.3 Enterprise Edition. Via het lek is het mogelijk om met relatief eenvoudige JavaScript-code toe te voegen aan de klantregistratieformulieren die in de bibliotheek van Magento zitten. Magento voert deze scripts uit als administrator, waarna het voor hackers mogelijk is om bijvoorbeeld nieuwe administratoraccounts aan te maken met alle rechten die een admin zou hebben binnen de site én de server. Volgens Magento zelf is dit echter niet mogelijk als de klanten gebruikmaken van een Web Application Firewall (WAF). Een WAF monitort en filtert het verkeer richting de applicatie door alle HTML, http(s) en XML-pakketten te inspecteren.
Hoewel Magento de bug als ‘kritisch’ heeft aangemerkt, stelt de organisatie dat de bug afhankelijk is van de PayFlow Pro-betalingsmodule. Het merendeel van de Magento-klanten gebruikt deze module niet, aldus Magento. Er zijn ook geen aanvallen bekend waarbij van het lek gebruik is gemaakt.
Toch zal XSS een steeds meer voorkomend ‘probleem’ gaan vormen, stelt ook Radware in haar jaarlijkse Global Application and Network Security Report. Radware stelt dat 2016 het jaar wordt waarin DDoS in impact plaats gaat maken voor APDoS – Advanced Persistent DoS, waarbij na een https-flood de applicatie zelf wordt aangevallen door middel van SQL-injectie en XSS. Dit type aanvallen is heel lastig te onderkennen en te bestrijden. Het is daarom meer dan ooit van belang dat applicatiecode op orde is en dat klanten op tijd patches inrollen.