image

Magento waarschuwt webwinkels voor ernstig beveiligingslek

dinsdag 12 november 2019, 10:52 door Redactie, 9 reacties

De zeer populaire webshopsoftware Magento waarschuwt webwinkels voor een ernstig beveiligingslek waar vorige maand al een patch voor verscheen. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller kwaadaardige code op de website uitvoeren en zo de webshop overnemen.

Webshops die de beveiligingsupdate nog niet hebben geïnstalleerd wordt aangeraden de patch zo snel als mogelijk te installeren en webwinkels die dit al wel hebben gedaan moeten een aanvullende controle uitvoeren. De kans bestaat namelijk dat aanvallers de webshop al voor de installatie van de update hebben gecompromitteerd.

Op 8 oktober verscheen de "Magento 2.3.3 en 2.2.10 Security Update" die 56 kwetsbaarheden verhelpt in Magento Commerce 2.3.1, Magento Commerce 2.3.2 en niet ondersteunde versies van Page Builder, zoals Page Builder Beta. Eén van de beveiligingslekken is op een schaal van 1 tot en met 10 wat betreft de impact met een 10 beoordeeld. Via dit lek kan een aanvaller op afstand willekeurige code uitvoeren. Hoewel de update al een maand beschikbaar is ziet het Magento Security Team zich genoodzaakt om webwinkels op de patch te wijzen.

De afgelopen maanden wisten criminelen via beveiligingslekken in Magento op duizenden webwinkels kwaadaardige code te plaatsen die creditcardgegevens van klanten stal. Updates voor de aangevallen kwetsbaarheden waren wel beschikbaar, maar niet door de beheerders van de webshops geïnstalleerd. Ook via de in oktober verholpen beveiligingslekken kunnen aanvallers kwaadaardige code toevoegen die creditcardgegevens steelt.

Het alleen installeren van de update is niet voldoende. Webwinkels die dit al hebben gedaan krijgen het advies om de veiligheid van hun website te controleren en te bevestigen dat die niet voor de upgrade is gecompromitteerd. "Het installeren van de hotfix of upgraden beschermt je shop tegen toekomstige aanvallen, maar verhelpt niet de gevolgen van een eerdere aanval", aldus het Magento Security Team.

Reacties (9)
12-11-2019, 12:47 door Anoniem
Magento is het zelf schuld dat ze nu een onveilige situatie hebben gecreëerd. Dan moeten ze maar beteren support leveren voor 1.x en 2.x cms systemen. Maar nee, die laatste versie breekt al de plugins, add-ons en themes. Kun je weer bij 0 beginnen met je webshop ! Niet gek dat mensen bij een onveilige versie blijven, dan werkt de webshop wel, maar goed de veiligheid zit dat achterop. Misschien iets om van te leren Magento Security Team ?
12-11-2019, 14:13 door Anoniem
Welke webshopsoftware een webshop gebruikt is niet direct van de pagina's af te lezen. Er is voor Firefox wel een heel eenvoudige add-on die dat laat zien: Wappalizer.

Zojuist even getest, en het werkt prima. De add-on kan overigens geen versie vermelden, althans niet bij de webshops waar ik Magento zag draaien .
12-11-2019, 14:47 door Anoniem
wat ik me afvraag, zit deze patch verwerkt in deze versie die je binnenhaalt met "composer update"? Met andere woorden, ik pas mijn Magento CE versie aan in composer.json en update naar 2.3.3, heb ik dan deze patch binnen?
12-11-2019, 15:31 door Anoniem
Dit gaat toch al jaren zo met Magento?
12-11-2019, 18:00 door Anoniem
Door Anoniem: Welke webshopsoftware een webshop gebruikt is niet direct van de pagina's af te lezen. Er is voor Firefox wel een heel eenvoudige add-on die dat laat zien: Wappalizer.

Zojuist even getest, en het werkt prima. De add-on kan overigens geen versie vermelden, althans niet bij de webshops waar ik Magento zag draaien .

Geen surfprivacy met Wappalizer:
"Any time you use the extension to analyze a website, the extension sends basic, limited information including the domain name of the website you have visited and what application was identified on it. This data is retained in Wappalyzer's server logs and protected according to our general Privacy Policy but may be sold to or shared with our third party partners. At no time can this data be traced back to you personally, since no personally identifiable information is stored."
12-11-2019, 20:40 door [Account Verwijderd]
Door Anoniem: wat ik me afvraag, zit deze patch verwerkt in deze versie die je binnenhaalt met "composer update"? Met andere woorden, ik pas mijn Magento CE versie aan in composer.json en update naar 2.3.3, heb ik dan deze patch binnen?

Lees dit:
https://devdocs.magento.com/guides/v2.3/comp-mgr/cli/cli-upgrade.html
12-11-2019, 23:18 door Anoniem
Door Anoniem:
Door Anoniem: Welke webshopsoftware een webshop gebruikt is niet direct van de pagina's af te lezen. Er is voor Firefox wel een heel eenvoudige add-on die dat laat zien: Wappalizer.

Zojuist even getest, en het werkt prima. De add-on kan overigens geen versie vermelden, althans niet bij de webshops waar ik Magento zag draaien .

Geen surfprivacy met Wappalizer:
"Any time you use the extension to analyze a website, the extension sends basic, limited information including the domain name of the website you have visited and what application was identified on it. This data is retained in Wappalyzer's server logs and protected according to our general Privacy Policy but may be sold to or shared with our third party partners. At no time can this data be traced back to you personally, since no personally identifiable information is stored."

1. Het is anonimized. (Je moet ze wel geloven ja).
2. Daarnaast: "Anonymously send identified technologies to wappalyzer.com" is een uit te vinken optie.

Ik ben behoorlijk van de privacy, maar ik zie het probleem niet zo. Ze zien dus dat er iemand checkt welke software de een of andere webshop draait.
Zelf gebruik ik het om een paar webshops te scannen en dan verwijder ik het weer. Dat is een paar seconden werk. Daarnaast zit ik achter een VPN. Maar je kunt het ook uitvinken.
13-11-2019, 10:10 door Krakatau
Door Anoniem: Dit gaat toch al jaren zo met Magento?

En met PHP (de rode draad aanwezig in al deze brakke websites).
23-11-2019, 20:19 door Anoniem
In het verlengde van dit artikel heb ik misschien nog wel iets interessants voor de lezers. Een editie van de podcast @AskMathijs opgenomen met evangelist en senior business consultant Ray Bogman. https://www.askmathijs.com/podcast/magento-2-snelheid-pwa-amp-implementatie/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.