CVE-2024-34102 – Magento-Sicherheitslücke jetzt schließen
Eine kritische Magento-Sicherheitslücke erlaubt unauthentifizierte Remote-Code-Execution. So patchen und prüfen Sie Ihren Shop richtig.
Am 11. Juni 2024 hat Adobe einen Sicherheitspatch für eine der kritischsten Magento-Schwachstellen der letzten Jahre veröffentlicht: CVE-2024-34102. Die Lücke erlaubt es Angreifern, beliebigen Schadcode auszuführen und damit den gesamten Shop zu kompromittieren.
Was ist CVE-2024-34102?
CVE-2024-34102 ist eine kritische Schwachstelle in Magento, durch die Angreifer mit speziell präparierten XML-Daten beliebigen Code auf dem Server ausführen können. Technisch handelt es sich um einen XML-External-Entity-Angriff (XXE). Über diesen Weg lassen sich sensible Daten exfiltrieren, Dateien lesen und verändern oder sogar die vollständige Kontrolle über den Server übernehmen.
Wie können Sie sich schützen?
Wer kann, sollte zeitnah auf eine bereits gepatchte Version aktualisieren. Wenn das aktuell nicht möglich ist, spielen Sie unbedingt den separaten Patch für CVE-2024-34102 ein.
Folgende Magento-Versionen enthalten den Patch bereits:
- Magento 2.4.7-p1
- Magento 2.4.6-p6
- Magento 2.4.5-p8
- Magento 2.4.4-p9
Wie funktioniert der Angriff?
Der Angriff nutzt aus, dass der XML-Parser in Magento externe Entitäten laden kann. Wenn eine Anwendung XML-Daten ohne ausreichende Validierung verarbeitet, lassen sich präparierte XML-Daten einschleusen, die den Parser dazu bringen, Daten von externen Quellen nachzuladen.
Ein typisches Szenario: Eine externe DTD (Document Type Definition) lädt den Inhalt einer sensiblen Datei wie app/etc/env.php und sendet ihn an einen vom Angreifer kontrollierten Server. Auf diese Weise lässt sich beispielsweise der Crypt Key des Shops auslesen. Wer den Crypt Key besitzt, kann sich gültige Access Tokens erzeugen und damit über die API auf alle Shop-Daten zugreifen.
Warum ist das ein erhebliches Risiko?
Die Schwachstelle erlaubt Angreifern, vollständige Kontrolle über den Shop zu übernehmen. Konkret bedeutet das:
- Exfiltration sensibler Daten: Benutzerdaten, Zahlungsinformationen, Konfigurationsdateien.
- Ausführung beliebigen Codes: Hintertüren, Malware, Persistenz-Mechanismen.
- Komplette Kompromittierung des Servers: Daten lassen sich löschen, verändern oder verschlüsseln.
Existierende Exploits
Funktionierende Exploits sind bereits öffentlich. Sansec hat einen detaillierten Bericht zu „CosmicSting” veröffentlicht, der die Angriffsvektoren und Auswirkungen beschreibt. Den vollständigen Bericht von Sansec finden Sie online.
Fazit
CVE-2024-34102 gehört zu den schwerwiegendsten Magento-Lücken der letzten Jahre. Shop-Betreiber sollten den Patch unverzüglich einspielen, um ihre Systeme zu schützen und die Integrität der Daten sicherzustellen.
Unterstützung beim Patch oder Audit?
Wir prüfen, ob Ihr Shop betroffen ist und spielen den Patch sauber ein.
Audit anfragen