Honderden webwinkels via kwetsbare plug-in besmet met malware
Onderzoekers hebben honderden webwinkels ontdekt die via een kwetsbare plug-in besmet zijn geraakt met malware die creditcardgegevens van klanten steelt. Daarnaast blijkt dat de webshops niet alleen een kwetsbare plug-in gebruiken, maar ook op webwinkelsoftware draaien die al ruim anderhalf jaar niet meer wordt ondersteund. Dat meldt securitybedrijf Sansec op basis van eigen onderzoek.
De webwinkels in kwestie maken gebruik van Magento, populaire software waarop honderdduizenden webshops draaien. De eerste versie van Magento wordt sinds juni 2020 niet meer ondersteund, waardoor ontdekte beveiligingslekken geen updates meer krijgen. Sansec ontdekte vorige meer dan vijfhonderd webwinkels, draaiend op Magento 1, die met malware waren geïnfecteerd. De cijfers worden bevestigd door anti-malwarebedrijf Malwarebytes.
De malware steelt creditcardgegevens en andere klantdata die klanten op de betaalpagina invoeren. Verder onderzoek wees uit dat de aanvallers gebruikmaakten van een kwetsbaarheid in een plug-in genaamd Quickview. Deze plug-in laat klanten producten bekijken zonder de betreffende productpagina te openen. Via het beveiligingslek in de plug-in is het mogelijk om malafide Magento-beheerders aan de webshop toe te voegen, maar kan er ook code direct op de onderliggende server van de webwinkel worden uitgevoerd.
Naast het toevoegen van malafide code aan de betaalpagina van de webwinkel die allerlei klantgegevens buitmaakt voegen de aanvallers ook een backdoor toe om toegang tot de webshop te behouden. Bij één webshop installeerde de aanvaller zelfs negentien backdoors, aldus de onderzoekers. Die merken op dat nog altijd duizenden webwinkels van Magento 1 gebruikmaken.
Webwinkels trachten zich te onderscheiden van de winkelstraat door het z.g. gemak: je hoeft je deur niet uit.
Dit soort berichtgevingen: gewoonweg te beroerd om te updaten naar een Magento versie die is gepatcht; dus veilig, is té treurig voor woorden.
Magento even "updaten" is er helaas niet bij. Het is een draak van een pakket met een codebase om te janken zo slecht. Je zult een webwinkel volledig opnieuw moeten bouwen en dat "kost duur qua financieel geld". Verder heeft het pakket een historie van ernstige kwetsbaarheden en zeer belabberde support (patches komen laat).
Beter blijf je als bedrijf weg bij dit soort gedrochten van het Internet. Dat geldt trouwens ook voor Wordpress, hoewel de core een stuk beter valt te updaten.
Het gaat dus niet om betere code maar meer om beter management en meer verantwoordelijkheid van eindgebruikers.
Magento even "updaten" is er helaas niet bij. Het is een draak van een pakket met een codebase om te janken zo slecht. Je zult een webwinkel volledig opnieuw moeten bouwen en dat "kost duur qua financieel geld". Verder heeft het pakket een historie van ernstige kwetsbaarheden en zeer belabberde support (patches komen laat).
Beter blijf je als bedrijf weg bij dit soort gedrochten van het Internet. Dat geldt trouwens ook voor Wordpress, hoewel de core een stuk beter valt te updaten.
@ soeperees,
Dank voor je toelichting, maar toch vind ik dat de door je aangedragen informatie geen verzachtende omstandigheid meebrengt.
Er zijn namelijk honderdduizenden webshops (sic) die wél draaien op een geüpdatet versie van Magento.
Als je om wat voor reden dan ook "kost duur qua financieel geld" laat prevaleren boven klantveiligheid heb ik daar geen goed woord voor over.
Magento is al eerder negatief in het nieuws geweest hier - weet niet meer zo goed wanneer - en dat is voor mij de reden geweest om zoveel als mogelijk weg te blijven van Internet shops want nergens kan ik bij bezoek achterhalen wat de ondersteunende software is van de betreffende webshop.
Het is treurig voor de webshops die zich wél inzetten voor de klantveiligheid, dat er rotte appels zitten tussen hun collega ondernemers die het niet zo nauw nemen met deze noodzakelijke veiligheid, want dit soort berichten doet deze tak van ondernemerschap eerder kwaad dan goed.
Zo jammer!
Dank voor je toelichting, maar toch vind ik dat de door je aangedragen informatie geen verzachtende omstandigheid meebrengt.
Er zijn namelijk honderdduizenden webshops (sic) die wél draaien op een geüpdatet versie van Magento.
Als je om wat voor reden dan ook "kost duur qua financieel geld" laat prevaleren boven klantveiligheid heb ik daar geen goed woord voor over.
De harde realiteit is natuurlijk wel dat als er nieuwe soorten plafonds beschikbaar komen (het voorbeeld waar je zelf
mee kwam) die brandveiliger zijn, geen asbest meer bevatten, of dat soort belangrijke voordelen ook niet iedere fysieke
winkel meteen het oude plafond eruit trekt en vervangt door een nieuw.
Dat moet toch wachten tot de winkel weer eens geheel verbouwd en gemoderniseerd wordt.
Op diezelfde manier wordt een pakket wat bij updaten werk vereist ook niet voortdurend geupdate. Dat geldt echt
niet alleen voor een PHP-based website, dat geldt voor zoveel situaties. En als het niet duidelijk is wat security
updates zijn die je gerust kunt installeren en wat feature updates zijn die er voor zorgen dat bestaande constructies
niet meer werken en moeten worden aangepast, dan vergaat de lust van het updaten je wel.
(geen idee of dat ook geldt voor Magenta, maar dit is vrij gebruikelijk bijvoorbeeld bij OS updates)
luntrus
Toen dus in de "hall of fame" van de developer.
En dan krijgt men nu:
Risk ratingHigh - This shows your current Magento version.
Magento releases security fixes periodically in all newer versions, after 1.4.0 (Community) and 1.10 (Enterprise).
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.