SchwachstellenHackerangriffeCyberkriminalität

Massive Defacement-Welle: Über 7.500 Magento-Shops angegriffen

Massive Defacement-Welle: Über 7.500 Magento-Shops angegriffen
Zusammenfassung

Seit Ende Februar werden weltweit über 7.500 Online-Shops mit der Open-Source-Plattform Magento von Cyberkriminellen angegriffen. In einer massiven Defacement-Kampagne platzieren die Angreifer Dateien direkt auf den betroffenen Servern, um Websites zu verunstalten. Unter den angegriffenen Unternehmen befinden sich bekannte globale Marken wie Asus, Toyota, FedEx und Diesel sowie Regional-Websites und Staging-Umgebungen. Auch Regierungsservices, Universitäten und gemeinnützige Organisationen wurden Ziel der Anschläge. Die Attacken exploitieren vermutlich eine Sicherheitslücke in Magento, die unauthentisierte Datei-Uploads ermöglicht. Besonders besorgniserregend ist eine neue, noch nicht aktiv ausgenutzte Schwachstelle namens PolyShell, die es Angreifern erlaubt, ausführbare Dateien hochzuladen – potenziell mit dramatischeren Folgen als bloße Defacement-Anschläge. Deutsche Unternehmen und Behörden, die auf Magento-basierte Systeme vertrauen, sollten ihre Installationen dringend überprüfen und aktualisieren. Experten warnen, dass automatisierte Angriffe zur Ausnutzung von PolyShell bald zu erwarten sind, weshalb schnelles Handeln erforderlich ist.

Die Defacement-Kampagne offenbart ein besorgniserregendes Sicherheitsproblem im E-Commerce-Ökosystem. Nach Angaben von Netcraft exploitieren die Angreifer eine unauthentifizierte Datei-Upload-Schwachstelle, die Magento Open Source, Magento Enterprise und Adobe Commerce mit B2B-Funktionalität betrifft. Die meisten identifizierten Defacement-Dateien enthalten lediglich die Angreifer-Handles, doch einige zeigen politische Botschaften zu aktuellen geopolitischen Konflikten – allerdings nur für einen Tag am 7. März 2026. Netcraft interpretiert dies als Nebeneffekt und nicht als primäres Angriffsziel.

Bemerkenswert ist die Systematik der Operation: Die Angreifer registrierten ihre Erfolge über das Defacement-Archiv Zone-H unter demselben Handle, was darauf hindeutet, dass sie gezielt an Reputationsaufbau in der Cyberkriminellen-Community interessiert sind. Die Kampagne traf überwiegend Subdomänen, regionale Ableger und Test-Umgebungen großer Konzerne, doch auch produktive Shop-Systeme wurden temporär defaciert.

Parallel zur Defacement-Welle enthüllte das Sicherheitsunternehmen Sansec die Schwachstelle PolyShell in der REST-API von Magento und Adobe Commerce. Diese kritische Lücke existiert bereits seit dem ersten Magento-2-Release und betrifft alle Versionen bis einschließlich 2.4.9-alpha2. Sie ermöglicht das Hochladen ausführbarer Dateien ohne jegliche Authentifizierung. Adobe adressierte die Schwachstelle in der Pre-Release-Version 2.4.9 (APSB25-94), doch für aktuelle Produktionsversionen gibt es keinen eigenständigen Patch.

Sansec beobachtet bislang keine aktive Ausnutzung in freier Wildbahn, warnt aber, dass die Exploit-Methode bereits zirkuliert. Automatisierte Massenattacken könnten bald folgen. Für deutsche E-Commerce-Betreiber bedeutet dies: Sofortige Überprüfung der Magento-Version und Installation verfügbarer Sicherheitsupdates sind notwendig. Insbesondere Shops, die auf älteren Versionen laufen oder noch nicht gepatcht wurden, sind stark gefährdet. Zusätzlich sollten Upload-Verzeichnisse überprüft und Web Application Firewalls konfiguriert werden.

Ähnliche Artikel