Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Kritisch lek Magento door XSS-bug

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 1 februari 2016 08:00 uur

Hosters die webshops op hun servers draaien op basis van Magento, doen er goed aan hun klanten te informeren over een securitypatch. Vrijwel alle versies van het e-commerceplatform zijn kwetsbaar in het registratieformulier voor klanten van de shop. Door middel van een XSS (cross site scripting)-bug kunnen hackers de site overnemen en zelfs de server waarop de site draait.

Volgens Sucuri gaat het om vrijwel alle versies tot aan de huidige 1.9.2.3 Community Edition en 1.14.2.3 Enterprise Edition. Via het lek is het mogelijk om met relatief eenvoudige JavaScript-code toe te voegen aan de klantregistratieformulieren die in de bibliotheek van Magento zitten. Magento voert deze scripts uit als administrator, waarna het voor hackers mogelijk is om bijvoorbeeld nieuwe administratoraccounts aan te maken met alle rechten die een admin zou hebben binnen de site én de server. Volgens Magento zelf is dit echter niet mogelijk als de klanten gebruikmaken van een Web Application Firewall (WAF). Een WAF monitort en filtert het verkeer richting de applicatie door alle HTML, http(s) en XML-pakketten te inspecteren.

Hoewel Magento de bug als ‘kritisch’ heeft aangemerkt, stelt de organisatie dat de bug afhankelijk is van de PayFlow Pro-betalingsmodule. Het merendeel van de Magento-klanten gebruikt deze module niet, aldus Magento. Er zijn ook geen aanvallen bekend waarbij van het lek gebruik is gemaakt.
Toch zal XSS een steeds meer voorkomend ‘probleem’ gaan vormen, stelt ook Radware in haar jaarlijkse Global Application and Network Security Report. Radware stelt dat 2016 het jaar wordt waarin DDoS in impact plaats gaat maken voor APDoS – Advanced Persistent DoS, waarbij na een https-flood de applicatie zelf wordt aangevallen door middel van SQL-injectie en XSS. Dit type aanvallen is heel lastig te onderkennen en te bestrijden. Het is daarom meer dan ooit van belang dat applicatiecode op orde is en dat klanten op tijd patches inrollen.

ISPam.nl Job board

Suzanne, 1 februari 2016 2:42 pm

Het is inderdaad echt heel belangrijk dat zowel CE als EE gebruikers asap de patch SUPEE-7405 implementeren. Belangrijk voor klant, shopeigenaar en hoster. Gebruik daarna vooral ook de gratis site https://www.MageReport.com om te checken of je het goed hebt gedaan, want de implementatie gaat ondanks beste bedoelingen toch vaak fout!

Deel uw reactie met andere ISPam.nl lezers

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

MELD U AAN VOOR DE NIEUWSBRIEF
Feedback!
Fill out my online form.
Laatste reacties

Noodstroomvoorzieningen The Datacenter Group Amsterdam laten het afweten tijdens stroomstoring
Ronald: N+1 anyone? En wat Wouter zegt. Kwaliteit kost geld. Bij beschikbaarheid is de redenering van kl...

Noodstroomvoorzieningen The Datacenter Group Amsterdam laten het afweten tijdens stroomstoring
Wouter: Dus de VPS'sen bij TransIP (en haar eigen website) zijn niet redundant, sterker nog: ze zijn niet ee...

Noodstroomvoorzieningen The Datacenter Group Amsterdam laten het afweten tijdens stroomstoring
The Datacenter Group: The Datacenter Group heeft een officiële statement afgegeven inzake de stroomuitval. Anders dan d...

GDPR: de finale klap voor kleine hosters?
Mario: "Data komt op straat te liggen na een DDOS-je" :P

16 hosting en datacenter tweets: Nieuwe routers, sportief 2017, upcoming events, taart en 20 jarig bestaan
Sambal: @ispam Just curious hoe "monitoren" jullie nieuws? Komt dat vanuit ispgids oid?