Magento: Webserver über Schwachstelle im MySQL-Protokoll gehackt

  • TIPP

  • mad.de
  • 1229 Aufrufe 1 Antwort

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Magento: Webserver über Schwachstelle im MySQL-Protokoll gehackt

    Eine lange bekannte Funktion im Datenbank-Protokoll MySQL führt aktuell dazu, dass Kriminelle Schadcode in E-Commerce-Shops einbauen.

    Ein MySQL-Server kann einen MySQL-Client dazu verleiten, äußerst sensible Informationen über sich preiszugeben. Ein bösartiger Server kann eine Schwachstelle des MySQL-Protokolls ausnutzen, um beliebige Dateien auf dem System auszulesen, auf die der MySQL-Client Zugriff hat. Um einen Webserver auf diese Weise anzugreifen, muss der Angreifer einen gepatchten MySQL-Server betreiben und einen MySQL-Client auf dem Server des Opfers dazu kriegen, sich mit dem manipulierten Server zu verbinden. Diese Schwachstelle im Datenbank-Protokoll ist seit Jahren dokumentiert, jetzt hat ein Sicherheitsforscher allerdings tatsächliche Angriffe auf Webserver festgestellt – und diese scheinen sich zu häufen.

    Angriffe auf Magento-Online-Shops
    Entdeckt hatte die Angriffe Willem de Groot, ein unabhängiger Sicherheitsforscher, der sich auf sogenannte Magecart-Angriffe auf die E-Commerce-Plattform Magento spezialisiert hat. De Groot hatte im Zuge der Landtagswahl in Bayern im Oktober die CSU auf Malware in ihrem Magento-Shop hingewiesen. Er hatte beobachtet, dass Kriminelle eine Schwachstelle im Admin-Werkzeug Adminer dazu missbrauchen, einen verbundenen MySQL-Client dazu zu bewegen, ihren bösartigen Server zu kontaktieren. Der befiehlt dem MySQL-Client dann, eine Konfigurationsdatei auszulesen, in der das Datenbank-Passwort für den Magento-Server gespeichert ist. Damit können die Angreifer dann die Magento-Software übernehmen und ihren Magecart-Schadcode einspielen.

    Die Konfigurationsdatei mit dem Passwort ist normalerweise für Angreifer aus dem Netz natürlich nicht lesbar. Die Angreifer missbrauchen also eine Lücke in Adminer, um Zugang zu einem MySQL-Client auf dem Webserver des Opfers zu bekommen. Dieser Client wird normalerweise für Admin-Aufgaben auf dem Webserver genutzt, kann aber wegen der Schwachstelle im MySQL-Protokoll dazu missbraucht werden, die sensible Config-Datei auszulesen. Denkbar wären solche Angriffe auch auf geheime Krypto-Schlüssel oder Zugangs-Informationen zu Wallet-Software von Kryptowährungen. Oder man kann sich Zugang zu anderer Software und deren Datenbanken verschaffen, die auf dem Ziel-Server läuft.

    Software für Angriffe frei verfügbar
    In der MySQL-Dokumentation wird das Sicherheitsrisiko zwar beschrieben, dort heißt es allerdings lapidar, Clients sollten sich nicht mit Servern verbinden, die nicht vertrauenswürdig sind. An Schwachstellen wie den Bug in Adminer haben die MySQL-Entwickler wohl nicht gedacht, als sie diesen Text verfassten. Bisher nahmen wohl die meisten Entwickler und Admins ebenfalls an, dass die Lücken rein theoretischer Natur sind. Wie de Groot zu bedenken gibt, gibt es allerdings in der Praxis bereits seit fünf Jahren einen frei verfügbaren, gepatchten MySQL-Server, der genau für solche Angriffe ausgelegt zu sein scheint. Und diverse Admins berichten im Netz auch schon von gehäuft auftretenden Angriffen auf ihre Systeme, die versuchen, die von de Groot beschriebene Schwachstellen-Kombination auszunutzen.
    Einige Software-Systeme, die MySQL-Client-Funktionen implementieren, schützen sich bereits vor der Schwachstelle durch bösartige Server – etwa die Programmiersprachen Go und Python. Sicherlich besteht aber nach wie vor ein Risiko durch verwundbare Software wie Adminer, dessen sich Server-Betreiber bewusst sein sollten. Die Adminer-Entwickler haben die Lücke wohl ebenfalls mit Version 4.6.3 aus dem vergangenen Jahr geschlossen, ältere (verwundbare) Versionen der Software lassen sich aber nach wie vor tausendfach im Netz aufspüren.

    Quelle: Magento: Webserver über Schwachstelle im MySQL-Protokoll gehackt |
    heise Security
  • Jetzt patchen: Lücken in Magento lassen sich zu Exploit-Chains zusammenbauen

    Wer noch nicht auf Magento 2.1.18, 2.2.9 oder 2.3.2 umgestiegen ist, sollte dies angesichts gefährlicher Lücken nebst -Kombinationen umgehend nachholen.

    Im Zuge eines Updates haben die Entwickler der E-Commerce-Plattform Magento Ende vergangenen Monats nach eigenen Angaben insgesamt 75 Sicherheitsverbesserungen vorgenommen. Sie sollen Online-Shop-Betreiber und ihre Kunden vor diversen Angriffsszenarien schützen, weshalb – sofern noch nicht geschehen – die sofortige Aktualisierung dringend anzuraten ist.

    Den vom Magento-Team veröffentlichten, in drei Teile aufgeteilten Sicherheitshinweisen ist zu entnehmen, dass insgesamt 19 der behobenen Sicherheitslücken einen CVSS-v3-Score von 7.4 ("High") bis hin zu 9.1 ("Critical") aufweisen. Sie können (teils ohne Authentifizierung) ausgenutzt werden, um unter anderem Sicherheitsmechanismen auszuhebeln und beliebigen Code auszuführen.

    Lücken-Verkettung birgt zusätzliche Gefahren
    Das wäre für sich betrachtet schon mehr als Grund genug, schnellstmöglich auf eine der abgesicherten Versionen 2.1.18, 2.2.9 oder 2.3.2 umzusteigen. Hinzu kommt aber auch, dass Sicherheitsforscher des Analysesoftware-Unternehmens Ripstech in einem Blogeintrag vom gestrigen Dienstag ausdrücklich vor möglichen "Exploit-Chains" warnen.

    Als Basis für eine solche Verkettung könne eine von Ripstech entdeckte Sicherheitslücke mit der Kennung CVE-2019-7877 dienen, die mit einem CVSS-v3-Score von 5.5 ("Medium") auf den ersten Blick eher harmlos wirkt. Auf Anfrage von heise Security teilte ein Ripstech-Mitarbeiter allerdings mit, dass sie – abweichend von Magentos Beschreibung – ohne vorherige Authentifizierung ausnutzbar sei. Versierte Angreifer könnten sie missbrauchen, um mittels Cross-Site-Scripting zunächst die Session eines angemeldeten Nutzers zu hijacken.

    Magentos aktuelle Sicherheitshinweise umfassen laut Ripstech "dutzende" (Remote-Code-Execution-)Lücken, die sich, obwohl sie für sich betrachtet eine Authentifizierung erforderten, als zweiter Schritt an die begonnene Exploit-Chain anfügen ließen. Um potenziellen Angreifern keine Steilvorlage zu bieten, demonstriert Ripstech dies im Blogeintrag lediglich an einer bereits im März gepatchten Lücke. Das detaillierte Beispiel zeigt allerdings, dass Angreifer die volle Kontrolle über Magento-Installationen übernehmen und (bei aktiviertem Authorize.Net-Modul) beispielsweise Zahlungen von Shopkunden an sich selbst umleiten könnten.

    CVE-2019-7877 steckt in sämtlichen Magento-Versionen vor 2.1.18, 2.2.9 oder 2.3.2. Dementsprechend rät auch Ripstech zum zügigen Update.

    Quelle: Jetzt patchen: Lücken in Magento lassen sich zu Exploit-Chains zusammenbauen | heise online