BruteForce Attacken und Hacks von Magento Shops (Shoplift Bug)

Heute erreichen uns einige Support-Tickets von Kunden deren Magento Backend nicht mehr lädt und folgende Fehlermeldungen ausgibt:

Fatal error: Class ‚Magpleasure_Filesystem_Helper_Data‘ not found in app/Mage.php on line 546
Fatal error: Class ‚Mage‘ not found in includes/src/Mage_Core_functions.php on line 244
Fatal error: Class ‚Mage‘ not found in includes/src/Mage_Core_Model_Resource_Session.php on line 108

Nach einer kurzen Analyse der Shops und unserer Server können wir festhalten das die Shops in der letzten Nacht gehackt wurden. Neben dem Upload zahlreicher Dateien u.a. einer Fake-Extension mit dem Namen „File System“ wurden auch neue Benutzer mit dem Namen „acjb“ und Adminberechtigung angelegt. Einige Kunden berichten von Änderungen an der Magento Datenbank, eine genaue Prüfung steht noch aus.

Einen Hack unserer Server können wir zu 100% ausschließen da sofort ausgeführte Checks negative Ergebnisse liefern, gleichzeitig konnten wir eine Liste der Gemeinsamkeiten der gehackten Shops erstellen.

Betroffene Shops haben folgende Eigenschaften:

• Adminbereich nicht wie empfohlen umbenannt, unter /admin/ erreichbar.
• Dem Hack gingen zahlreiche BruteForce Attacken auf /admin/ voraus.
• In der letzten Nacht wurde eine neue Extension installiert (app/code/community/Magpleasure/Filesystem/)
• Es fehlt der von uns bereits im Februar angekündigte Security-Patch (SUPEE-5344), das Magento Team hat in den letzten Tagen per Benachrichtigungssystem noch einmal auf das kritische Update hingewiesen.

„Critical Reminder: Download and install Magento security patches. Download now.
Download and implement 2 important security patches (SUPEE-5344 and SUPEE-1533) from the Magento Community Edition download page (https://www.magentocommerce.com/products/downloads/magento/). If you have not done so already, download and install 2 previously-released patches that prevent an attacker from remotely executing code on Magento software. These issues affect all versions of Magento Community Edition. A press release from Check Point Software Technologies in the coming days will make one of these issues widely known, possibly alerting hackers who may try to exploit it. Ensure the patches are in place as a preventative measure before the issue is publicized.“

Nicht betroffene Shops haben folgende Eigenschaften:

• Adminbereich ist nicht unter /admin/ erreichbar.
• Der Security-Patch (SUPEE-5344) ist installiert.

Wir gehen davon aus das die BruteForce Attacke erfolgreich war da die mit Malware beladene Extension über MagentoConnect geladen wurde. Es finden sich gleichnamige Dateien im Cache Ordner des Downloaders:

downloader/.cache/community/File_System-1.0.0.tgz

Die dazugehörige Magento Extension wird noch von Google gelistet, der Link zu MagentoConnect leitet allerdings auf eine 404-Seite weiter.

Über die gravierende Sicherheitslücke wurde in den letzten Tagen in Blogs berichtet:

https://blog.sucuri.net/2015/04/critical-magento-shoplift-vulnerability-supee-5344-patch-immediately.html
http://www.itespresso.de/2015/04/20/check-point-deckt-massive-sicherheitsluecke-in-magento-auf/

Update folgt!