Wat is er aan de hand?

Eind 2016 heeft Magento een beveiligingsupdate uitgebracht die een lek dichte waarbij het mogelijk was om code te injecteren via het aanroepen van URL's waardoor hackers de webshop volledig konden overnemen. Deze beveiligingsupdate kreeg dan ook het hoogste cijfer voor het risico op misbruik in de geschiedenis van Magento. Als u deze update netjes heeft geïnstalleerd of een Magento versie hoger of gelijk aan versie 1.9.3.0 heeft dan heeft u dus geen last meer van dit beveiligingslek.

Hacker

Het zou mooi zijn als hiermee het verhaal klaar is maar helaas kwam beveiligingsonderzoeker Willem de Groot er eind oktober achter dat dezelfde beveiligingsproblemen nog wel aanwezig waren in een lange lijst aan Magento modules van derde. Iedereen die dus een of meerdere van deze modules geïnstalleerd heeft kan nog steeds eenvoudig gehackt worden. En dat gebeurt dan ook op grote schaal.

Voor een meer technische uitleg (in het Engels) kunt u het blog artikel van Willem de Groot lezen.

Modules die deze beveiligingsproblemen bevatten:

  • TBT (Sweet Tooth / Smile.io): Rewards tot versie 1.8.7.3
  • Webcooking: SimpleBundle tot versie 1.6.9
  • Extreme Magento: AjaxProducts tot versie 1.0.0
  • Cart2Quote tot versie 5.4.5
  • Ahead Works: AdvancedReports tot versie 2.8.2
  • Ahead Works: AheadMetrics
  • BSS: ReorderProduct tot versie 1.2.4
  • Apikom: CustomGrid (BL_CustomGrid)
  • Campaigner tot versie 1.1.6
  • MW_Gift
  • Wesley Almeida: mageGwhishlist
  • Ced_Layaway
  • Made People: Cache verholpen in de laatste versie, geen versie nummer bekend
  • Extreme Magento: ProductsFilterWidget
  • Extreme Magento: Multideal
  • Vnecoms: Tabshome
  • Vnecoms: VendorsCredit
  • Amasty / MagPleasure: Tierprices tot versie 1.2.14
  • Amasty / MagPleasure: Blog Pro tot versie 2.3.4
  • Amasty / MagPleasure: Share Me! tot versie 2.1.4
  • Amasty / MagPleasure: AJAX Reviews tot versie 1.3.13

Oplossing

Uiteraard hebben wij direct al onze klanten die een van deze modules hadden ingelicht en waar mogelijk een update gegeven van de module naar een versie waar dit in verholpen is. Modules waar geen versie van was waar de problemen waren opgelost hebben we zelf aangepast of verwijderd. Op deze manier waren onze klanten binnen no time weer veilig tegen de geautomatiseerde aanvallen.

We hebben het hier echter niet bij gehouden maar hebben ook onze beveiligingsscans aangepast. Bij de eerste scan kwamen we behalve de lijst die Willem de Groot had vrijgegeven ook nog een aantal andere modules tegen die we aan deze lijst hebben toegevoegd. Het ging om een aantal Amasty / MagPleasure modules met hetzelfde probleem. In samenwerking met Amasty hebben we ook die modules van een update voorzien en zijn deze beveiligingsupdates nu ook voor al hun andere klanten beschikbaar.

Voor een meer technische uitleg (in het Engels) kunt u ons techtalk artikel lezen.

Heeft u een van deze modules geïnstalleerd of wilt u ons laten uitzoeken of dit zo is? Neem dan contact met ons op.