Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Kritisch lek Magento door XSS-bug

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 1 februari 2016 08:00 uur

Hosters die webshops op hun servers draaien op basis van Magento, doen er goed aan hun klanten te informeren over een securitypatch. Vrijwel alle versies van het e-commerceplatform zijn kwetsbaar in het registratieformulier voor klanten van de shop. Door middel van een XSS (cross site scripting)-bug kunnen hackers de site overnemen en zelfs de server waarop de site draait.

Volgens Sucuri gaat het om vrijwel alle versies tot aan de huidige 1.9.2.3 Community Edition en 1.14.2.3 Enterprise Edition. Via het lek is het mogelijk om met relatief eenvoudige JavaScript-code toe te voegen aan de klantregistratieformulieren die in de bibliotheek van Magento zitten. Magento voert deze scripts uit als administrator, waarna het voor hackers mogelijk is om bijvoorbeeld nieuwe administratoraccounts aan te maken met alle rechten die een admin zou hebben binnen de site én de server. Volgens Magento zelf is dit echter niet mogelijk als de klanten gebruikmaken van een Web Application Firewall (WAF). Een WAF monitort en filtert het verkeer richting de applicatie door alle HTML, http(s) en XML-pakketten te inspecteren.

Hoewel Magento de bug als ‘kritisch’ heeft aangemerkt, stelt de organisatie dat de bug afhankelijk is van de PayFlow Pro-betalingsmodule. Het merendeel van de Magento-klanten gebruikt deze module niet, aldus Magento. Er zijn ook geen aanvallen bekend waarbij van het lek gebruik is gemaakt.
Toch zal XSS een steeds meer voorkomend ‘probleem’ gaan vormen, stelt ook Radware in haar jaarlijkse Global Application and Network Security Report. Radware stelt dat 2016 het jaar wordt waarin DDoS in impact plaats gaat maken voor APDoS – Advanced Persistent DoS, waarbij na een https-flood de applicatie zelf wordt aangevallen door middel van SQL-injectie en XSS. Dit type aanvallen is heel lastig te onderkennen en te bestrijden. Het is daarom meer dan ooit van belang dat applicatiecode op orde is en dat klanten op tijd patches inrollen.

Suzanne, 1 februari 2016 2:42 pm

Het is inderdaad echt heel belangrijk dat zowel CE als EE gebruikers asap de patch SUPEE-7405 implementeren. Belangrijk voor klant, shopeigenaar en hoster. Gebruik daarna vooral ook de gratis site https://www.MageReport.com om te checken of je het goed hebt gedaan, want de implementatie gaat ondanks beste bedoelingen toch vaak fout!

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.