Zugang zu Kreditkarten-Informationen
Check Point entdeckt massive Sicherheitslücke in eCommerce-Plattform "Magento"
Schwachstelle bei führender Online-Einzelhandelsplattform gefährdet Millionen Kreditkartenkonten und Online-Einkäufer
Check Point Software Technologies gab bekannt, dass ihre Malware- und Schwachstellen-Forschungsgruppe kürzlich eine kritische RCE (Remote Code Execution)-Schwachstelle in eBays Internetplattform für e-Commerce, "Magento", festgestellt hat. Es sind fast zweihunderttausend Online-Shops betroffen. Wird die Schwachstelle ausgenutzt, versetzt sie Angreifer in die Lage, jeden auf der Magento-Plattform basierenden Online-Store in vollem Umfang zu manipulieren. Dies schließt den Zugang zu Kreditkarten-Informationen und anderer finanzieller und persönlicher Daten von Kunden mit ein. Die Schwachstelle ermöglicht Angreifern, alle Sicherheitsmechanismen zu umgehen und die Kontrolle über den Store und seine komplette Datenbank zu übernehmen, wodurch Kreditkartendiebstahl oder anderer administrativer Zugang zum System möglich gemacht wird.
"Da Kunden immer mehr online einkaufen, werden e-Commerce-Seiten immer häufiger zum Ziel von Hackern, denn sie sind zu einer Goldmine für Kreditkarten-Informationen geworden", sagte Shahar Tal, Malware und Vulnerability Research Manager bei Check Point Software Technologies. "Die von uns entdeckte Schwachstelle stellt eine erhebliche Bedrohung dar, und das nicht nur für einen Store, sondern für alle Handelsmarken, die die Magento-Plattform für ihre Online-Stores nutzen wir sprechen von ungefähr 30 Prozent des e-Commerce-Marktes."
Check Point offenbarte eBay die Schwachstellen sowie eine Liste vorgeschlagener Maßnahmen im Vertrauen bereits vor der öffentlichen Bekanntgabe. Ein Patch zur Korrektur dieser Mängel wurde am 9. Februar 2015 herausgegeben(SUPEE-5344 hier erhältlich). Store-Besitzer und -Administratoren werden dringend aufgefordert, den Patch unverzüglich auszuführen.
Check Point-Kunden sind durch die IPS-Software-Blade bereits vor den Exploitationsversuchen dieser Schwachstelle geschützt. Für weitere Informationen besuchen Sie bitte unseren Blog. (Check Point Software Technologies: ra)
Check Point Software: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Achtung: Sicherheitslücke in OpenSSL
"Heartbleed", der Programmierfehler in OpenSSL, betrifft geschätzt zwei Drittel aller Webseiten. OpenSSL schützt die Kommunikation zwischen Nutzern und Servern. Dieser Fehler macht es Hackern möglich, sensible Daten zu extrahieren, beispielsweise Nutzernamen, Passwörter und andere wichtige Informationen. Hier erfahren Sie alles über "Heartbleed" und wie Sie sich schützen können.
15.04.14 - Sicherheitslücke in OpenSSL: Versions-Upgrade und Einsatz von Forward Secrecy dringend empfohlen
15.04.14 - Die Sicherheitslücke HeartBleed lässt sich auf einfache Weise ausnützen, und es gibt bereits zahlreiche Proof-of-Concept-Tools
15.04.14 - Keine Heartbleed-Schwachstelle bei ZyXEL-UTM-Firewall-Appliances
15.04.14 - Hintergrundinformationen: Erste Zahlen zu Heartbleed bei Android
15.04.14 - McAfee zu Heartbleed: Ändern Sie Ihr Passwort nicht. Testen Sie erst !
15.04.14 - Informationen zur Heartbleed-Sicherheitslücke: Rund 1.300 Apps in Google Play betroffen
15.04.14 - "Heartbleed": In sieben Schritten Sicherheitslücke schließen
15.04.14 - Geräte von Lancom Systems nicht von "Heartbleed" betroffen
15.04.14 - Heartbleed Bug: bintec elmeg Produkte ohne Sicherheitslücke
15.04.14 - F5 mildert Auswirkungen des Heartbleed-Bug: Es besteht meist geringer oder kein Handlungsbedarf für Kunden