Alvorlig sårbarhed rammer 300.000 netbutikker: Kan bruges til at stjæle eller slette hele databaser

Illustration: H. Mølsted
Sikkerhedsselskab frygter, at sårbarheden kan lede til en katastrofal hackerkampagne.

Magento er blandt verdens mest brugte software til netbutikker. Angivelig skulle den være brugt af op til 300.000 forskellige e-handelstjenester. Nu er det Adobe-ejede selskab kommet med en meget vigtig sikkerhedsopdatering til alle understøttede udgaver af softwaren.

SQL-injicering

Blandt sårbarhederne, som er blevet fjernet, er en SQL-injceringssårbarhed, som kan udnyttes, uden at der kræves nogen form for autentificering. Ifølge sikkerhedsselskabet Sucuri er sårbarheden meget let at udnytte og kan bruges til at sende kommandoer til et underliggende databasesystem.

Dette gør det muligt at hente sensitiv information ud af systemet, inklusive brugernavn og hashede passwords. Potentielt gør sårbarheden det også muligt at indsætte kode, som skimmer betalingskortinformation.

Det skriver blandt andet Ars Technica.

Manglende kundskaber

Mange af netbutikkerne, som benytter Magento, køber det som en tjeneste fra en leverandør. Formentlig har de fleste af disse god kontrol over sikkerhedsopdateringerne, som kommer, og installerer disse så hurtigt som muligt.

Værre er det med alle firmaerne, som drifter Magento på egen hånd. Mange af disse har ikke intern kompetence til at forstå konsekvenserne af sådanne angreb. Når den skadelige koden først er blevet injiceret, er det ikke tilstrækkeligt bare at installere sikkerhedsopdateringen. Så må også databasesystemet renses.

I 2016 var der et lignende tilfælde, og sikkerhedsforskere, som forsøgte at varsle berørte netbutikker, blev ofte afvist af folk, som mente, at alt var i den skønneste orden.

Frygter hackerkampagne

Fordi sårbarheden nu er så enkel at udnytte, frygter sikkerhedsselskaber, at dette vil ske i stor stil.

»Det kan føre til én af de mest katastrofale webhackingkampagner nogensinde. Magento bruges for det meste af anerkendte e-handelsnetsteder og åbner derfor døren til en enorm mængde sensitiv, personidentificerende information, inklusive gyldige kreditkortdetaljer,« siger Ilia Kolochenko, administrerende direktør i it-sikkerhedsselskabet High-Tech Bridge.

»De farligste fejl er SQL-injicering, som kan udnyttes uden nogen betingelser, er tilstrækkelige til at stjæle hele databasen, og som sandsynligvis kan tage kontrol over hele det sårbare netsted og den tilhørende webserver. Sofistikerede malwareinfektioner kan skabe problemer for websites, efter at alle værdifulde data er blevet stjålet,« mener Kolochenko.

Netbutikker, som frygter, at sårbarheden allerede kan være udnyttet, kan se i webserverloggen, om /catalog/product/frontend_action_synchronize er blevet besøgt mere end bare undtagelsesvist.

Hvis den er blevet besøgt mange gange i løbet af nogle få minutter, kan det være grund til at foretage nærmere undersøgelser.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Leif Neland

Hvorfor ligger en netbutik overhovedet inde med kortnumre?

I de netbutikker, jeg har arbejdet med, foregår al behandling af kortdata hos betalingsudbyderen, f.ex. dibs, eller epay, butikken ser kun korttypen og de sidste 4 cifre for at kunne skrive dem på kvitteringen.
Butikken får et token, "en check", der kun kan bruges til at hæve højst det aftalte beløb, og kun af den butik, der har fået det.
Der er også abonnementsordninger, hvor man løbende kan hæve, men igen er det kun den enkelte butik, der kan bruge det.

  • 2
  • 0
Victoria Hansen

Det gør de heller ikke.

Den nyeste trend er at lægge noget kode ind der ligner en betalingsgateway, efter man har fået adgang til serveren, og på den måde tage kontrol med købsflowet så kunden ikke længere bliver redirectet over på betalingsgatewayen men ind i noget angiberen har lavet, og så skal man være mere end almindelig IT-kyndig for at kunne aflure at der er noget galt (hvis altså det er lavet "ordentligt").

  • 1
  • 0
Log ind eller Opret konto for at kommentere