Moeten hosters ingrijpen nu Magento-beheerders een gevaarlijke exploit niet patchen?

• Door
• Jeroen Mulder
• geplaatst op
• 30 april 2015 08:00 uur

Lichte paniek onder Magento-hosters: een lek stelt kwaadwillenden in staat om vrij eenvoudig ‘proletarisch te winkelen’ in shops die gebruikmaken van niet gepatchte Magento-software. En dat zijn nogal wat shops. Volgens een raming van CheckPoint en Sucuri gaat het om minstens 200.000 shops, hoewel de meeste beheerders inmiddels een patch hebben ingerold. Prima. Niks aan de hand dus. Toch wel. Want dit lek was al in januari bekend.

Op 14 januari meldde internetbeveiliger CheckPoint het bestaan van een lek in Magento: SUPEE-5344, ofwel de ‘Magento Shoplift’. Toepasselijk gekozen, want het lek stelt hackers in staat om met SQL-injectie de shop over te nemen en toegang te krijgen tot persoonlijke data van klanten. Daarnaast is het mogelijk om een vals account aan te maken en daarmee bestellingen te doen zonder af te rekenen. Magento reageerde op 9 februari met een patch. Daarna bleef het stil.

Totdat CheckPoint een paar weken geleden ineens dreigde om een exploit vrij te geven. Veel Magento-gebruikers – volgens Sucuri meer dan de helft van alle installaties – hadden de shops nog niet gepatcht waardoor het lek een serieuze bedreiging werd. CheckPoint publiceerde vervolgens een blog waarin het lek tot in het kleinste detail wordt beschreven en het zelfs voor beginnende codekrakers relatief eenvoudig is om het lek te gebruiken. Het publiceerde op YouTube ook een filmpje met een zogeheten Proof of Concept waarin wordt getoond hoe je dankzij de exploit met een waardecoupon ‘gratis’ kunt winkelen.

Na de publicatie van de exploit zag Sucuri onmiddellijk het aantal aanvallen op Magento-installaties toenemen. Maar er was wel iets opvallends aan deze aanvallen. Veel van de inbraakpogingen kwamen van twee IP-adressen, beide in Rusland. Sucuri stelt dan ook dat dit georganiseerde aanvallen zijn, vanuit één groep. De schade valt tot dusver mee, omdat de aanvallen tot nu beperkt blijven tot het aanmaken van een vals account in de Magento-database. Toch was dit wel een absolute wake-up call. Magento mailde op 16 april al haar gebruikers al met het verzoek om systemen direct te patchen. Terecht merkte hoster Byte op dat dit voor Magento bijzonder uitzonderlijk is. Conclusie: er was/is sprake van enige paniek.

En ook dat is terecht. Op moment van schrijven zijn tienduizenden shops nog steeds niet voorzien van de patch. Het lijkt wel of beheerders de melding erg gemakkelijk opnemen en dat terwijl dankzij de exploit toch behoorlijke schade kan worden aangericht. Byte meldt op haar site: “Inmiddels heeft ook het Nationaal Cyber Security Center (NCSC) ons benaderd. We hebben de volledige lijst lekke webshops aan hen overgedragen, zodat zij actief de beheerders kunnen benaderen.” Op de site van het NCSC wordt overigens geen melding gemaakt van het Magento-lek. De vraag is of hosters in dit soort gevallen, waarbij serieuze veiligheidsrisico’s ontstaan, niet automatisch moeten patchen. Of in elk geval na een paar dagen. Veel hosters doen dat, andere adviseren slechts en roepen hun klanten op om de installaties te patchen. Checken of een shop daadwerkelijk gevaar loopt, kan op de site van Magento zelf: http://magento.com/security-patch.

[advpoll id=”139″ title=”Vraag van de dag” width=”100%”]