Kritische Sicherheitslücke in Prestashop

Eine Sicherheitslücke im Online-Shopsystem Prestashop wird aktuell aktiv angegriffen. Shopbetreiber, die Prestashop im Einsatz haben, sollten einen Blick auf ihre Sicherheitsvorkehrungen werfen. Denn die kritische Lücke im System ermöglicht es den Angreifern, ohne Anmeldung im großen Stil Kreditkartendaten abzugreifen.

Für die Version Prestashop 1.7 wurde bereits ein Patch veröffentlicht, der die Sicherheitslücke schließen soll. Empfohlen wird, entweder diesen Patch anzuwenden oder die Software auf die aktuellen Versionen upzudaten.

Lücke wegen mangelnder Filterung

Die Sicherheitslücke blieb bei Angreifern nicht unbemerkt und wird schon aktiv ausgenutzt. Nicht angemeldete Nutzer können aus dem Netz zugreifen und das System vollständig kompromittieren.

Die Posthemes-Komponente, die bei der Suche nach Produkten in Prestashop eingesetzt wird, ist der Türöffner für die Attacken. Die Eingaben, welche in einer SQL-Abfrage landen, werden nicht ausreichend gefiltert. So können selbst von unangemeldeten Nutzern manipulierte Abfragen eingeschleust werden. Es besteht das Risiko einer SQL-Injection, da die Methode PosSearch::find() sensible SQL-Aufrufe enthält, die über eine http-Anfrage ausgeführt werden können.

Es reicht allerdings nicht, Posthemes zu deaktivieren. Die Schwachstelle ist dann immer noch da und lässt sich trotzdem ausnutzen, um mit sogenannten Webskimmern in das verwundbare System einzudringen und Kreditkarteninformationen zu stehlen.

Webskimmer sind bösartige Software oder Skripte, die in Websites eingebettet werden, um sensible Informationen von Besuchern zu stehlen. Diese Skimmer werden in der Regel heimlich in die Zahlungsseiten von Online-Shops oder anderen Websites integriert und erfassen die eingegebenen Daten der Nutzer, während sie ihre Zahlungsinformationen eingeben. Die gestohlenen Daten werden dann an die Angreifer gesendet, die sie für betrügerische Zwecke verwenden. Die Daten werden beispielsweise für Kreditkartenmissbrauch verwendet oder auf dem Schwarzmarkt verkauft.

Die Entdecker der Sicherheitslücke haben in der Sicherheitsmeldung nicht spezifiziert, welche Versionen der Shop-Software betroffen sind. Für Prestashop 1.7 gibt es allerdings einen Patch, der die Sicherheitslücke schließen soll.

Weitere Lücken bereits geschlossen

Bereits Ende April waren kritische Sicherheitslücken im System bekannt geworden. Eine davon wurde ebenfalls als kritisch eingestuft und soll es Unberechtigten erlauben, auf die Datenbank zuzugreifen und dort Einträge zu manipulieren oder sogar zu löschen. Bei zwei weiteren Lücken wurde das Risiko als „hoch“ eingestuft. Diese erlauben es Angreifern mit SQL-Manager-Zugriff, eigentlich abgeschottete Daten einzusehen oder können zu einer XSS-Attacke führen.

Bei einer XSS-Attacke (Cross-Site Scripting-Attacke) wird bösartiger Code (in der Regel in Form von JavaScript) in eine vertrauenswürdige Website eingefügt und anschließend an andere Benutzer weitergegeben. Wenn ein anderer Benutzer die infizierte Website besucht, wird der bösartige Code in seinem Browser ausgeführt.

Es gibt verschiedene Arten von XSS-Angriffen, darunter:

Reflected XSS: Der bösartige Code wird als Teil der URL an die Webanwendung übermittelt und in der Antwort des Servers reflektiert.

Stored XSS: Der bösartige Code wird in einer Datenbank oder einem Speichermedium der Webanwendung gespeichert und bei jedem Abruf an die Benutzer übermittelt.

DOM-based XSS: Der bösartige Code manipuliert das Document Object Model (DOM) einer Webseite, um Angriffe auf den Browser des Benutzers auszuführen.

Die Auswirkungen einer erfolgreichen XSS-Attacke können vielfältig sein, einschließlich Diebstahl von Benutzerdaten, Sitzungsübernahme, Veränderung von Webseiteninhalten und Weiterleitung auf bösartige Websites.

Die Entwickler von Prestashop haben diese bekannten Lücken geschlossen und Sicherheitsupdates veröffentlicht. Wer diese bereits installiert hat, sollte laut der Sicherheitsmeldung auch bei der aktuellen Lücke schon auf der sicheren Seite sein.

Unsere Empfehlung

Wir empfehlen grundsätzlich, die eingesetzte Software auf dem neuesten Stand zu halten und regelmäßig Updates durchzuführen. Gerade im Falle von kritischen Sicherheitslücken reagieren die meisten Softwareanbieter sehr schnell mit Patches oder neuen Updates.

Häufig sind es vor allem die älteren Versionen, die anfällig für Angriffe sind. In diesem Fall sollten Sie überprüfen, ob Sie eine Version von Prestashop nutzen, die neuer ist als 1.7.8.8 bzw. 8.0.1.

Die Versionen 1.7.8.9 und 8.0.4 sind die aktuellen Fassungen der Shop-Software.

Nginx-Regel, um das Aufrufen der URL zu unterbinden

Wer die Installation von Updates oder der Patches erst abstimmen muss und gegebenenfalls noch etwas Zeit gewinnen muss, kann unter Umständen folgende nginx-Regel verwenden:

if ($arg_id_category ~* "(.*)select(.*)") { return 403; }

Diese Regel liefert ein 403 zurück wenn das Argument "id_category" den Wert "select" enthält. Bei Timme Hosting können Sie die Regel im ISPConfig/Kundencenter im Reiter "Umleitung/Header" in das Textfeld "Rewrite Rules/Header" hinterlegen.