Hacker haben es auf Magento 1 Stores abgesehen
Fast 2.000 Magento 1 Stores wurden am Wochenende in der größten Hacking-Kampagne seit 2015 kompromittiert.
Mehr als 2.000 Magento 1 Online-Shops wurden über das Wochenende gehackt. Cyber-Security-Experten sprechen von der „größten Kampagne aller Zeiten“.
Bei den Angriffen handelte es sich um ein klassisches Magecart-Schema. Hacker dringen in die Website ein und platzieren ein bösartiges Skript im Quellcode, der die Zahlungskartendaten, die Käufer beim Checkout eingeben, protokolliert.
„Am Freitag wurden erst 10, am Samstag 1.058, am Sonntag 603 und heute 233 Shops gehackt“, sagte der Gründer einer niederländischen Cyber-Sicherheitsfirma, die auf die Verfolgung von Magecart-Angriffen spezialisiert ist.
„Diese automatisierte Kampagne ist bei Weitem die größte, die wir seit Beginn der Überwachung im Jahr 2015 identifizieren konnten. Der vorherige Rekord lag bei 962 gehackten Shops an einem einzigen Tag im Juli letzten Jahres.“ fuhr Willem de Groot, Gründer des niederländischen Cybersecurity Unternehmens SanSec weiter fort.
Auf den meisten kompromittierten Websites lief eine Magento 1.x Version. Am 30. Juni 2020 erreichte diese Magento-Version das End-of-Life (EOL) und erhält seitdem keine Sicherheitsupdates mehr.
Seit vergangenem November gibt Adobe Warnungen raus und empfiehlt, auf die Version 2 zu migrieren. Darüber hinaus rät der Magentoeigner, dass Magento 1.x Shopbetreiber sich auf Hackerangriffe gefasst machen und in Ihre Planung ein Fixing-Budget einplanen sollten.
Die neuen Sicherheitslücken in den Magento 1.x Versionen wurden seit einiger Zeit nicht mehr entdeckt: Das ist etwas untypisch, die alte Shop-Version von Sicherheitslücken durchsetzt ist, wie ein Schweizer Käse.
Sicherheitsexperten vermuten bereits seit Längerem, dass Hacker auf ihren Magento 1.x-Exploits sitzen und nur auf die EOL gewartet haben. Dadurch konnten sie sicher gehen, dass Adobe ihre Bugs nicht patchen würde. Damit hatten sie gar nicht so unrecht.
Aktuell konnte noch nicht genau identifiziert werden, wie die Hacker in die Shops eingedrungen sind. Im vergangenen Monat gab es mehrere Threads zu einer Magento 1.x Zero-Day-Schwachstelle in Hackerforen.
In einer Anzeige bot ein Nutzer mit dem Namen z3r0day, einen Remote Code Execution (RCE)-Exploit für 5.000 Dollar an. Das wurde damals eher als unwahr abgetan und keine weitere Beachtung geschenkt.
Dass seit November 2019 Adobe seinen Magento-Shopbetreibern die Migration auf die neue Version empfiehlt, zahlt sich aus. Die Zahl der Magento 1.x Stores ist von 240.000 auf 110.000 im Juni 2020 und auf 95.000 zum heutigen Zeitpunkt gesunken.
Flott ist das jetzt nicht, aber man kann davon ausgehen, dass viele der nicht aktualisierten Stores ihr Geschäft höchstwahrscheinlich aufgeben werden, oder einen sehr geringen Nutzerverkehr aufweisen. Nichtsdestotrotz betreiben einige stark frequentierte Websites immer noch die 1.x-Version und verlassen sich auf Web Application Firewalls (WAFs), um Angriffe zu stoppen.
Das ist eine ganz schön riskante Strategie, die vielleicht PCI-konform sein mag, aber auf lange Sicht keine kluge Entscheidung ist.
Positiver Nebeneffekt dieser Hackerkampagne – Adobe gab letzte Woche bekannt, dass sie sich mit SanSec zusammengeschlossen haben. Sie möchten die Datenbank des Sicherheitsunternehmens mit mehr als 9.000 Magento-Malware-Signaturen als Teil des Security Scan-Tools in das Magento-Backend integrieren. Bleiben wir gespannt, was das so bringt.
Wer nicht darauf hoffen möchte, dass sich das in etwas Gutes verwandelt, der sollte nun wirklich darüber nachdenken seinen Onlineshop auf die Version 2.x upzudaten. Nicht nur um vor weiteren Hackerangriffen geschützt zu sein, sondern auch um die Vorteile von neuester Architektur und Kundenbindungsmaßnahmen zu nutzen. So etwas sollte sich kein erfolgreiches eCommerce Unterernähren entgehen lassen.
PixelMechanics ist eine der führenden Magento Agenturen in der DACH Region und Spezialist für Magento eCommerce und Sales Digitalisierung.