Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties

Veel grote Nederlandse websites zijn getroffen door een bug in het e-commerce-platform Magento. Het lek is al twee maanden geleden gedicht, maar slechts de helft van de Nederlandse webshops heeft zijn Magento-installatie bijgewerkt naar de nieuwste versie.

Het lek in Magento zorgt ervoor dat aanvallers eigen code op een website met Magento kunnen uitvoeren. De bug is al in februari gepatcht, maar veel webwinkels hebben hun installatie nog niet bijgewerkt naar de nieuwste versie. Onder de getroffen webwinkels zijn ook veel Nederlandse bedrijven, waaronder een webwinkel van KLM voor zijn frequent flyers en een accessoirewinkel van T-Mobile. Ook de webshops van De Volkskrant, Het Parool, het Algemeen Dagblad en Trouw waren kwetsbaar. Dat ontdekte Willem de Groot, de mede-oprichter van webhoster Byte.

De genoemde webwinkels zijn inmiddels gepatcht. Veel webwinkels hebben hun installatie echter nog niet bijgewerkt, blijkt uit een overzicht van kwetsbare webshops die De Groot heeft samengesteld met een tool die zoekt naar kwetsbare installaties. Daaronder zijn een grote vliegtuigmaatschappij, een oliemaatschappij, een groot consultancykantoor en een energieleverancier. Gebruikers kunnen controleren of een Magento-installatie kwetsbaar is via een tool van de webwinkelsoftware

Aanvallers proberen waarschijnlijk op grote schaal in te breken op kwetsbare Magento-installaties. "In onze access logs zien we dat websites van onze klanten worden gescand vanaf acht ip-adressen, voornamelijk vanuit Rusland", aldus De Groot. De kans is daarom zeer groot dat Magento-installaties die nu nog niet zijn bijgewerkt, inmiddels zijn geïnfecteerd. Daarbij kan een aanvaller bijvoorbeeld cookies van gebruikers stelen, informatie uit de database halen of dieper in de webserver proberen door te dringen.

Een week geleden werd het aantal kwetsbare webshops op 100.000 geschat; hoeveel er nu nog kwetsbaar zijn, is niet bekend. In Nederland is 50 procent van de webshops kwetsbaar, blijkt uit een scan van De Groot. Daarmee doet Nederland het internationaal relatief goed: in de Verenigde Staten ligt het aantal ongepatchte webshops op 60 procent, in Rusland op 77 procent en in China zelfs op 84 procent.

Magento lek per land

Moderatie-faq Wijzig weergave

Reacties (47)

Hier dus het artikel van Check Point, met meer informatie over het lek en hoe ze het gevonden hebben: http://blog.checkpoint.co...ng-magento-vulnerability/

Edit: En hier een voorbeeld van een exploit, met in de reacties meer voorbeelden over wat er gehackt is.. https://blog.sucuri.net/2...exploits-in-the-wild.html

Let dus ook op dat, hoewel de patch als sinds 9 februari uit is, je deze nog steeds moet toepassen als je nu de laatste versie van Magento download, ook in de laatste versie!

[Reactie gewijzigd door Barryvdh op 28 april 2015 17:39]

Link naar website waar de (grote versie van de) wereldkaart staat: https://shoplift.byte.nl/geograph
Byte heeft de tool ontwikkeld om de bug op te sporen en wordt ook op de Magento site met naam genoemd. Ik weet niet in hoeverre het meespeelt, maar ik vindt dit een mooi voorbeeld van 'grafische manupilatie'.

Zoals al eerder aangegeven wordt er in dit plaatje gebruik gemaakt van de, toch redelijk universele signaalkleuren rood en groen. Dergelijke plaatjes suggereren dat rood zwaar fout is en groen goed, maar nederland zit met 49% ongepatchte versies al wel mooi in het groen.
Als je dit plaatje kan genereren , dan is het echt niet zo moeilijk om een schaal te maken van 0 tot 100% en gebruik te maken van groen, oranje, rood en dan in bv 5 gradaties.

Als je doorklikt naar de info pagina, dan staat er vervolgens een plaatje waarin de razendsnelle daling van het aantal vatbare systemen te zien is.
Oh, nee, toch niet. Hier heeft men, wederom bewust, gekozen om de onderkant van de grafiek op 70% te leggen in plaats van 0%.

Bugs en vulnerabilities zijn serieuze zaken.
Het is goed dat er openheid aan wordt gegeven, tools worden ontwikkeld enzovoorts, maar dit is eigenlijk een vorm van obfuscatie: we geven de cijfers wel, maar op zo'n manier dat het helemaal niet zo erg lijkt.
"Bewust" ? Welnee, die kleuren en y-scale zijn de defaults van respectievelijk Google Charts en Librato. Als je zin hebt uit om te vogelen hoe het beter kan, pas ik het direct aan.

Edit: ik heb deze grafieken juist gemaakt om te zorgen dat meer mensen hun Magento gaan patchen. Gehackte Magentos => reputatieschade => slecht voor mijn bedrijf (gespecialiseerd in Magento)

Edit: y-scale aangepast

[Reactie gewijzigd door gwillem op 29 april 2015 15:55]

Als ik dat kaartje zo bekijk doen de Nederlandse webwinkels het niet zo slecht. Alleen Finland heeft minder webwinkels met het lek
Dan staat NL er nog goed bij met donkergroen op een gedeelde 5e plaats.
Hoe komen ze er nou zo vlot achter dat 50% van de webshops nog kwetsbaar is?

Edit: sowieso nieuwsgierig hoe ze bijvoorbeeld ook ontdekken dat er zo'n 100,000 websites kwetsbaar waren. Where the numbers come from?!

[Reactie gewijzigd door Slechdt op 28 april 2015 15:15]

Is dit een troll vraag of?

In ieder geval, soortgelijke bedrijven (wordpress etc) hebben een databaseje waar aangemelde domeinen staan die de software (magento) gebruiken waar allerlei 'onder-water' gegevens instaan om de boel te kunnen monitoren, just in case. Run hier een BI tool overheen en je bent bezig met big data (predict & trend analysis), oe spannend.

Ik ben van mening dat Magento een Modal page ontwikkeld waarbij de admin's een verplichte update moeten uitvoeren alvorens de website verder gebruikt kan worden, afhankelijk van hoe kritiek de bug/kwetsbaarheid is.

[Reactie gewijzigd door Netrunner op 28 april 2015 15:12]

Het probleem is eerder dat je ook andere (functionele) updates erbij krijgt en er veel kans is dat een en ander niet meer werkt na een update. Ook moeten alle plugins die je gebruikt getest worden enz.

Dit is op te lossen door gewoon een soort universele patch te bouwen waarmee je elke versie van de software kan bijwerken en dus alleen het gat dicht. Op zich niet zo moeilijk maar geen enkele grote (gratis) software die er zich aan waagt...
Het probleem is eerder dat je ook andere (functionele) updates erbij krijgt en er veel kans is dat een en ander niet meer werkt na een update. Ook moeten alle plugins die je gebruikt getest worden enz.

Dit is op te lossen door gewoon een soort universele patch te bouwen waarmee je elke versie van de software kan bijwerken en dus alleen het gat dicht. Op zich niet zo moeilijk maar geen enkele grote (gratis) software die er zich aan waagt...
Gewoon eindelijk eens actief gaan vervolgen voor het niet voldoen aan de wettelijke plicht die er al ligt. Elk systeem waar persoonsgegevens op verwerkt worden dient van adequate beveiligingsmaatregelen voorzien te zijn. Daartoe behoort niet alleen beveliging van de verbinding maar ook gewoon het up-to-date en beschermt houden van je OS, je server-software en je applicatie-software.

Zeker als je van software als Magento gebruik maakt en deze breed uitmeten hoe gevaarlijk deze bug is, is er geen enkel excuus om inmiddels nog niet gereageerd te hebben.

Uiteraard gaat het niet gebeuren dat de hele lijst van Nederlandse websites die op het moment nog lek zijn aan het OM gegeven gaat worden om de eigenaren strafrechtelijk (want; grove nalatigheid) te vervolgen, want met z'n allen zijn we veel te knuffelig voor het bedrijfsleven. De harde waarheid is echter dat alles een risico-analyse en kosten/baten analyse is. En je gaat met geen mogelijkheid enige vorm van verbetering in het gedrag van bedrijven aanbrengen zonder substantieel dat risico omhoog te krikken tot aan het punt dat de beancounters bij de directie alarm gaan slaan.
Kijk eens op De Groots site, naar diens tool: https://shoplift.byte.nl
Ah ziet er goed uit. Wist niet dat het zo gemakkelijk zou zijn om de versie te achter halen van een magento site.
Kwestie van testen. Lijsten met magento sites moeten relatief simpel samen te stellen zijn. Vervolgens gooien ze er een tool overheen die kijkt of ze nog kwetsbaar zijn. Staat ook aangegeven in het artikel ;)

Daarnaast zal het altijd een steekproef zijn. 50% van de geteste webshops zijn nog vatbaar in dat geval.
In het artikel hierboven:
blijkt uit een overzicht van kwetsbare webshops die De Groot heeft samengesteld met een tool die zoekt naar kwetsbare installaties.

Zal dus een tool zijn die alle klanten in het database checkt of ze geupdate zijn of niet. Althans dat is wat er in het artikel staat :P

Wat bijv ook kan ( ik ken het programma zelf niet, dus ik weet niet of je de update als een .exe binnen haalt, stel het gaat via een auto update (als enige keuze) zie je de aantal downloads per programma/gebruiker/server ) is dat ze gecheckt hebben hoevaak de update gedownload is. Stel je hebt 500.000 klanten en de update is 250.000 x gedownload, weet je genoeg toch?

[Reactie gewijzigd door LopendeVogel op 28 april 2015 15:37]

Heel simpel, je bouwt crawler die checkt wat voor software sites draaien. Vervolgens haal je die gigantisch lijst aan hits met Magento door de standaard check heen. De meeste webshops hebben de standaard login pagina niet aangepast dus dan kan dat redelijk betrouwbaar.
Een handig tooltje om met behoorlijke nauwkeurigheid te zijn welke software een site gebruikt: https://wappalyzer.com/
Misschien hebben ze 10 webshops getest waarvan er 5 lek waren. En dan zou je kunnen redeneren dat 50% kwetsbaar is.

Tssjah, wat zeiden ze ook alweer over statistiek? Iets met leugen ofzo? :)
Statistieken vertellen geen leugen, maar vertellen wat je wilt.
“I only believe in statistics that I doctored myself”

― Winston S. Churchill
var alleSites = ScanHetInternet();
alleSites.Count(x => x.Kwetsbaar) / alleSites.Count();

Als dat ongeveer 0.50 oplevert ben je er :)

Andere optie: we weten het niet dus het zal wel ongeveer de helft zijn.
Waarschijnlijk met behulp van masscan
Iemand een linkje naar de betreffende lijst?
Ik vraag me wel af waarom er nog zoveel ongepatche shops zijn.
ik heb een aantal magento shops dicht gespijkerd met de geleverde patch(es) en dat is echt maar een paar minuten werk. ( mits je je zaakjes op order hebt )
Als je je zaakjes _echt_ op orde hebt is het waarschijnlijk veel meer. Waarom? Omdat je dan niet zomaar een patch mag uitrollen, dat in de OTA straat moet doen, met bijbehorende testprotocollen.

Het echte probleem zit-m bij Magento die pas de afgelopen weken duidelijk aangeeft dat er in februari een patch verschenen is, en daarnaast nog steeds geen update voor heeft uitgegeven.

[Reactie gewijzigd door Calypso op 28 april 2015 15:19]

Het echte probleem zit-m bij Magento die pas de afgelopen weken duidelijk aangeeft dat er in februari een patch verschenen is, en daarnaast nog steeds geen update voor heeft uitgegeven.
Dit is IMO het echte probleem. We zijn inmiddels 2,5 maand verder. Iets wat je als bedrijf zelf al aanwijst als zijnde een kritieke bug moet gewoon met een update gefixt worden. Prima dat ze even vlot een patch ter beschikking stellen - top zelfs als service - maar dan moet vervolgens wel als een gek in een update verwerkt worden.
Tuurlijk is dit even werk, maar ervanuitgaande dat de patch al doorgetest is en er een goed versiebeheersysteem is, moet dat geen mega-werk meer zijn lijkt me.
Het is inderdaad van de gekke dat Magento geen update-alerts verstuurt. Wordpress doet dat toch stukken beter.
Dat Magento geen update alerts verstuurd is niet helemaal waar. Wel zou het flink duidelijker kunnen. Het is echter zo dat ik als beheerder van een Magento webshop op zowel 16 (gat bekend, geen known hacks), 20 (herinnering) en 23 april (exploit gepubliceerd) een RSS melding krijg wanneer ik op de backoffice inlog die elke keer dat ik ernaar surf opduikt als ik deze niet open en daarna pas op gelezen klik. Dat is wel (te) laat, maar er is wel degelijk gewaarschuwd.

De patch komt in de vorm van een klein shell script (.sh). Uitvoeren is zo gepiept eerst in de testing en pushen naar de productie omgeving. Daarbij wordt meteen aangegeven of de patch geslaagd is en welke bestanden aangepast zijn. Even het script doorscrollen en je weet alles.

[Reactie gewijzigd door ikke26 op 28 april 2015 17:01]

... en het lek is al op 9 februari, dus ruim 2 maanden eerder gepatched door Magento. Het enige bericht wat ze toen hebben gestuurd is een twitter bericht via hun standaard account waarop ook alle marketing meuk verstuurd wordt. Pas toen externe partijen gingen roepen in de media dat er zoveel ongepatchte Magento sites waren begonnen ze de door jou genoemde berichten te versturen. Dat had gewoon op 9 februari al moeten gebeuren.
Ik ken de patch zelf niet, of hoeveel impact die heeft op je shop maar ik kan me wel voorstellen dat er shops zijn met maatwerk die van een simpele update een hels karwei maken. Dat zie ik althans bij veel opensource CMS/eCommerce systemen.
Is maar net hoeveel maatwerk erin zitten. Blog wordpress is toen in de tijd 1 bonk maatwerk geworden als je die update ben je al je maatwerk kwijt en zo even ombouwen van wp 3 naar wp 4 doe je niet.

Als je standaard magento hebt en standaard plugins is het snel te updaten. Maar mocht je in een template handmatig bv een koers systeem hebben geschreven. Update. Poef weg koers systeem.
Voor een paar honderd dollar kun je die lijsten kopen bij oa. www.builtwith.com (220K entries)
Kwalijke zaak dit, vooral omdat het nu sowieso dus is dat meer dan de helft van de webshops die Magento draait dus niet veilig meer is. Ik hoop ten zeerste dat de webshops zeer snel gaan patchen en ervoor zorgen dat de fake admins worden verwijderd, anders ben ik erg bang dat dit verhaal nog een staartje gaat krijgen...
Eigenlijk dus precies hetzelfde soort probleem waar wordpress mee te kampen had en waar nu patch (4.2.1) voor is uitgekomen? Ook al ging dat iets meer om de comments...
Finland en Denemarken, dat is belachelijk dat alleen die 2 de boel (redelijk) goed op orde hebben...
Als je goed kijkt is zelfs groen nog 37% ongepatcht. Dit vind ik niet (redelijk) goed op orde. Het groen is misleidend (oranje zou beter geweest zijn vind ik).
Oranje was beter geweest idd, een flinke faal aangezien groen dus misleidend is in dit geval.
Groen staat voor 37% ongepatched als ik het kaartje mag geloven.
Misschien handig om in het artikel ook te vermelden dat Magento zelf retetraag was met de o zo belangrijke melding. En als het goed is is hun download pagina nog steeds niet bijgewerkt. Download je meest recente versie mag je alsnog lopen patchen (disclaimer : 4 dgn terug nog gecheckt)

Omdat ik geen twitter oid gebruik was ik pas op de hoogte nadat een klant begon te klagen dat zijn shop gepatched moest worden. En dit is iets van hooguit 2 weken terug. Vind je het gek dat veel shops dan nog niet gepatched zijn
Idd dit vind ik echt schandalig. Heb vorige week nog een nieuwe Magento installatie gedaan voor een klant, blijkt deze nog gewoon niet gepatched !!! Snap niet waarom ze niet gelijk al een versie aanbieden waarbij alles op orde is.
Dit dus. 2 weken geleden een shop ge-update via Magento Connect, dus dacht wel ok te zitten, aangezien dit lek al in februari bekend was. Maar nee, je mag nog zelf een patch aanbrengen.
Er is blijkbaar iets van een update beschikbaar. Heb inmiddels versie nummer 1.9.1.0-2 voorbij zien komen, maar weet niet precies wat daar de details van zijn anders dan dat de patch erbij in zou moeten zitten. [EDIT] Lijkt een image van Bitnami te zijn waar de patches bij in zitten, verder geen idee hoe of wat.

Het nadeel is dat deze versie dus niet direct van Magento.com is te downloaden, deze versies lijken alleen geschikt voor SaaS applicaties die automatische Magento installatie aanbieden.

Wat ik nog nergens heb kunnen vinden is wat je kan doen als geinfecteerd bent. Is het een kwestie van de patch installeren en de random admin account verwijderen of is er meer aan de orde?

[Reactie gewijzigd door Beanie op 28 april 2015 17:06]

In principe kan je met de exploit alles doen, van admin accounts toevoegen tot code uitvoeren. Het is dus niet echt zo te zeggen. Beter kan je ook controleren of er bestanden zijn toegevoegd of gewijzigd de laatste tijd. Het kan zijn dat ze bijv. core bestanden hebben aangepast van Magento ook.
Zie https://blog.sucuri.net/2...exploits-in-the-wild.html voor een voorbeeld exploit.
Beter kan je ook controleren of er bestanden zijn toegevoegd of gewijzigd de laatste tijd.
Als het mogelijk is om via deze exploit volledige toegang te krijgen en arbitrair code te draaien, dan heeft dat ook geen enkele zin. Als er de mogelijkheid is geweest tot remote code execution is er maar één juist antwoord: platgooien en vanaf nul herinstalleren. Alle andere manipulaties zijn te maskeren en er kan altijd een fijne rootkit achter gelaten zijn.

En dan mag je gaan bidden dat je database niet ook gecompromiteerd is.
Hashes (als ze al gehashed zijn...) van de wachtwoorden van je user accounts en e-mail addressen zullen in elk geval al ruimschoots buit gemaakt zijn.

Tijd voor Jan met de Pet om weer eens al z'n wachtwoorden aan te gaan passen omdat ze overal dezelfde gebruiken...

[Reactie gewijzigd door R4gnax op 28 april 2015 21:17]

Van alles wat ik gelezen heb lijkt het erop dat als er geen nieuwe admin users zijn aangemaakt je ook niet geinfecteerd bent. De Magento installatie die ik heb draaien is de 24e al geupdate en zou dus wel safe geweest zijn aangezien de meeste aanvallen pas vanaf de 24e en verder lijken te zijn gebeurd.

Edit: Wist trouwens al wel wat je met de exploit kon doen. Ging mij erom wat je kan doen als je reeds geinfecteerd bent. Is installatie van de patch en verwijderen van evt. users voldoende of is het aan te raden naar een oude versie terug te gaan en dan te patchen. Lees in je link namelijk dat er ook aanpassingen aan PHP files gedaan (kunnen) worden en het toevoegen van files in de JS directory.

[Reactie gewijzigd door Beanie op 28 april 2015 23:39]

Opmerkelijk genoeg hielden de aanvallers in mijn geval geen rekening met een table prefix :)

Op dit moment worden er zeven pogingen per minut gedaan op de grootste site die ik beheer. :o
Heb zelf al een stuk of 10 IPs in de blocklist staan die ik de afgelopen week voorbij heb zien komen. Gelukkig heb ik vanaf dag 1 de admin interface niet onder /admin hangen en er een IP restrictie op staan.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True