Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Moeten hosters ingrijpen nu Magento-beheerders een gevaarlijke exploit niet patchen?

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 30 april 2015 08:00 uur

Lichte paniek onder Magento-hosters: een lek stelt kwaadwillenden in staat om vrij eenvoudig ‘proletarisch te winkelen’ in shops die gebruikmaken van niet gepatchte Magento-software. En dat zijn nogal wat shops. Volgens een raming van CheckPoint en Sucuri gaat het om minstens 200.000 shops, hoewel de meeste beheerders inmiddels een patch hebben ingerold. Prima. Niks aan de hand dus. Toch wel. Want dit lek was al in januari bekend.

Op 14 januari meldde internetbeveiliger CheckPoint het bestaan van een lek in Magento: SUPEE-5344, ofwel de ‘Magento Shoplift’. Toepasselijk gekozen, want het lek stelt hackers in staat om met SQL-injectie de shop over te nemen en toegang te krijgen tot persoonlijke data van klanten. Daarnaast is het mogelijk om een vals account aan te maken en daarmee bestellingen te doen zonder af te rekenen. Magento reageerde op 9 februari met een patch. Daarna bleef het stil.

Totdat CheckPoint een paar weken geleden ineens dreigde om een exploit vrij te geven. Veel Magento-gebruikers – volgens Sucuri meer dan de helft van alle installaties – hadden de shops nog niet gepatcht waardoor het lek een serieuze bedreiging werd. CheckPoint publiceerde vervolgens een blog waarin het lek tot in het kleinste detail wordt beschreven en het zelfs voor beginnende codekrakers relatief eenvoudig is om het lek te gebruiken. Het publiceerde op YouTube ook een filmpje met een zogeheten Proof of Concept waarin wordt getoond hoe je dankzij de exploit met een waardecoupon ‘gratis’ kunt winkelen.

Na de publicatie van de exploit zag Sucuri onmiddellijk het aantal aanvallen op Magento-installaties toenemen. Maar er was wel iets opvallends aan deze aanvallen. Veel van de inbraakpogingen kwamen van twee IP-adressen, beide in Rusland. Sucuri stelt dan ook dat dit georganiseerde aanvallen zijn, vanuit één groep. De schade valt tot dusver mee, omdat de aanvallen tot nu beperkt blijven tot het aanmaken van een vals account in de Magento-database. Toch was dit wel een absolute wake-up call. Magento mailde op 16 april al haar gebruikers al met het verzoek om systemen direct te patchen. Terecht merkte hoster Byte op dat dit voor Magento bijzonder uitzonderlijk is. Conclusie: er was/is sprake van enige paniek.

En ook dat is terecht. Op moment van schrijven zijn tienduizenden shops nog steeds niet voorzien van de patch. Het lijkt wel of beheerders de melding erg gemakkelijk opnemen en dat terwijl dankzij de exploit toch behoorlijke schade kan worden aangericht. Byte meldt op haar site: “Inmiddels heeft ook het Nationaal Cyber Security Center (NCSC) ons benaderd. We hebben de volledige lijst lekke webshops aan hen overgedragen, zodat zij actief de beheerders kunnen benaderen.” Op de site van het NCSC wordt overigens geen melding gemaakt van het Magento-lek. De vraag is of hosters in dit soort gevallen, waarbij serieuze veiligheidsrisico’s ontstaan, niet automatisch moeten patchen. Of in elk geval na een paar dagen. Veel hosters doen dat, andere adviseren slechts en roepen hun klanten op om de installaties te patchen. Checken of een shop daadwerkelijk gevaar loopt, kan op de site van Magento zelf: http://magento.com/security-patch.

[advpoll id=”139″ title=”Vraag van de dag” width=”100%”]

Pim Effting, 30 april 2015 8:30 am

Het punt is een beetje dat traditioneel het beheer van de applicatie zelf niet bij de hoster ligt. Het is belangrijk om die scheiding ook te handhaven, omdat je anders wel erg veel verantwoordelijkheden naar je toe trekt en ook in het vaarwater van de webdeveloper gaat zitten.
Dat wil niet zeggen dat je jouw klanten niet kan ondersteunen bij het oplossen van hun problemen. Zo hebben wij onze Magento klanten specifiek geïnformeerd in een bericht, met daarbij de oplossing. Als men dit niet kon uitvoeren (door tijd- of kennisgebrek) hebben we dit aangeboden als service tegen een kleine vergoeding.
Helpen betekent niet altijd gratis helpen!

Sjoerd van Groning, 30 april 2015 12:35 pm

Het is waar, dat de hoster niet verantwoordelijk is, maar hij ondervindt wel schade bij een hack.

Voor hosters is het misschien interessant om eens te kijken naar Patchman. Deze tool lijkt zover ik lees erg fijn te zijn (geen belangen)

Piet, 30 april 2015 12:40 pm

Ik heb de patch PATCH_SUPEE-5344_CE_1.8.0.0_v1-2015-02-10-08-10-38.sh gedownload, maar wat ik er nu verder mee doen? Moet ik dat ergens plaatsen of moet ik die op een bepaalde plaats runnen? Of nog iets anders?

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.