Die dabei genutzten Sicherheitslücken vermutet Experte Peter Gramantik entweder in der Kernanwendung oder aber in einem weit verbreiteten Modul. Mit dem von den Angreifern platzierten Code sollen sie in der Lage sein, sämtliche POST-Abfragen in Magento mitzuschneiden. Sie filtern aber offenbar ausschließlich die Kreditkarteninformationen heraus.
Komplexe Vorgehensweise
Diese werden dann zunächst verschlüsselt und danach in einer Bilddatei mit einem ungültigen Jpeg-Header abgespeichert. Der Zeitstempel der Datei wird auch manipuliert, um sie so unauffälliger zu machen. Sollte jemand die Bilddatei zufällig öffnen, wird gar nichts angezeigt. Erst mit dem privaten Schlüssel der Angreifer können die gestohlenen Daten entschlüsselt werden.
Es geht auch einfacher…
Gramantik beschreibt auch einen weiteren Angriff auf Magento-Systeme, für den Code in das Checkout-Modul der E-Commerce-Lösung eingeschleust wird. Auch so können die Angreifer sämtliche Zahlungstransaktionen abgreifen. Die Daten werden bei diesem Angriff simpel per Email an die Angreifer versandt.
Ob Magento schon Patches dagegen veröffentlicht hat, ist nicht bekannt. Die E-Commerce-Lösung wird unter der Open Software License veröffentlicht. Das Unternehmen gehört seit Juni 2011 zu Ebay.
Gramantik weist besonders darauf hin, dass die fehlende Verschlüsselung es den Angreifern sehr leicht macht, die Daten abzuziehen. Von diesem Problem dürften aber wohl auch andere E-Commerce-Hersteller betroffen sein…