Magento-webwinkels vatbaar voor lek in Helpdesk-software

Toegevoegd door - Ariën -, 1 jaar geleden

Magento-webwinkels vatbaar voor lek in Helpdesk-softwareWebwinkels die de software Magento gebruiken zijn in bepaalde gevallen vatbaar voor XSS-aanvallen welke malware kunnen installeren. De malwere is bedoeld om creditcard-gegevens te onderscheppen. Het beveiligingslek zit in de veelgebruikte Mirasvit Helpdesk-toevoeging, waarmee er een ticketsysteem kan worden opgezet voor klantenondersteuning.

De aanval op de webwinkels begint met een e-mail die bijvoorbeeld over het ontwerp van de webwinkel gaat. Het bericht bevat echter de XSS-aanval. Zodra deze mail in het ticketsysteem wordt geopend kan deze uitgevoerd worden, en kan deze de bestaande template van de website aanpassen met schadelijke code. Deze heft als doel om creditcardgegevens van de klanten te onderscheppen en deze door te sluizen naar de aanvaller.

De Nederlandse beveiligingsonderzoeker Willem de Groot heeft de aanval ontdekt. Hij noemt het een vrij geraffineerde aanval omdat deze diverse beveiligingsmaatregelen van de webwinkel omzeilt, zoals ip-restricties, sterke wachtwoorden en tweefactor-authenticatie, en dus op simpele wijze gebruik maakt van de browser waarin de medewerker de mails leest.

De kwetsbaarheid werd op 21 september van dit jaar ontdekt gepubliceerd. Op 13 december werd deze gepatched. Iedereen die Mirasvit Helpdesk op Magento draait wordt aangeraden om zo snel mogelijk deze te upgraden naar versie 1.5.3. Het bedrijf zal ook contact opnemen met al haar klanten die deze software gebruiken.

Gerelateerde nieuwsberichten

05/04/2016 Magento-gebruikers slachtoffer van ransomware
12/04/2014 Beveiligingsonderzoekers verkregen toegang tot servers Google
15/08/2012 Veel webshops lek door Magento

 

Er zijn geen reacties op 'Magentowebwinkels vatbaar voor lek in helpdesksoftware'

Om te reageren heb je een account nodig en je moet ingelogd zijn.

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.