Samstag, Mai 9, 2026
Aktuelles:
Sicherheit

Hacker kapern Magento

fishnetservices

Mindestens 99 Magento Shops wurden in den letzten Tagen über eine Sicherheitslücke in der Rest-API mit einer Schadsoftware infiziert. Die Angreifer schleusten dabei ein winziges „Bild“ in den html Code der Shops ein, das in einer einzigen langen Zeile den gesamten Code enthält.

In der Kaufabwicklung poppt dann plötzlich ein Overlay auf, das Kreditkartendaten abfragt – auf genau die Art und Weise, die ein gutgläubiger Käufer vermuten würde. Nur das diese Daten natürlich nicht beim Händler landen, sondern bei den Angreifern.  Wer auf „andere Zahlungsmethode“ klickt, wird tatsächlich auch wieder zurück auf den eigentlichen Checkout des Shops geleitet. Durch die Art des Codes schlagen auch Sicherheitsprogramme nicht an.

Wer sich unsicher ist, ob der eigene Shop betroffen ist, kann nach <svg width=“1px“ height=“1px“ onload=“ suchen, oder nach einer Datei fb_metrics.php, lanhd6549tdhse.top oder  accesson.php oder nach Kontakten zu der IP Adresse 23.137.249.67 (wobei sich diese durch die aktuelle Berichterstattung sicher bald ändern wird).

Das Sicherheitsteam von Sansec hat bereits im März über die Sicherheitslücke „Polyshell“ berichtet. Betroffen sind alle Magento Open Source- und Adobe Commerce Versionen bis einschließlich 2.4.9.-alpha2. Passiert ist anscheinend nichts: wie Sansec schreibt, gibt es derzeit für Magento keinen offiziellen Patch. Sinn macht es , das Uploadverzeichnis pub/media/custom_options zu blockieren.

Die Frage darf erlaubt sein, warum Hacker mittlerweile in hohem Tempo Künstliche Intelligenz benutzen, um Sicherheitslücken zu finden,  die Security Teams der Shophersteller aber nicht in ebenfalls hohem Tempo dagegenarbeiten. Man sollte meinen, das es für die diversen Shopsysteme täglich oder wöchentlich Updates gibt, doch es ist keinerlei Steigerung in der Schlagzahl der Updates festzustellen.  Zumal nach der PLD Richtlinie der EU mittlerweile auch Software-Hersteller in der Haftung sind.

Ein Produkt ist als fehlerhaft anzusehen, wenn es nicht die Sicherheit bietet, die eine Person erwarten darf oder die gemäß Unionsrecht oder nationalem Recht vorgeschrieben ist. Bei der Beurteilung der Fehlerhaftigkeit eines Produktes sind alle Umstände zu berücksichtigen, einschließlich: (…) der einschlägigen Anforderungen an die Produktsicherheit, einschließlich sicherheitsrelevanter Cybersicherheitsanforderungen;

Das könnte dir auch gefallen

Achtung, angebliche Mails von Hetzner sind Phishing Mails

fishnetservices

Passwortmanager von Kaspersky: Passwörter ließen sich leicht errechnen

fishnetservices

Noch Fragen? Kaspersky tourt durch Europa.

fishnetservices