SchwachstellenMalwareCyberkriminalität

PolyShell-Attacken treffen über die Hälfte aller anfälligen Magento-Shops

PolyShell-Attacken treffen über die Hälfte aller anfälligen Magento-Shops
Zusammenfassung

Die Magento-Plattform wird derzeit von massiven Cyberangriffen heimgesucht: Kriminelle nutzen die kritische PolyShell-Schwachstelle aus, um Online-Shops zu infiltrieren und sensible Kundendaten zu stehlen. Bereits zwei Tage nach der öffentlichen Offenlegung der Lücke Mitte März 2025 begannen Angreifer mit der Exploitation in großem Stil – mittlerweile wurden über die Hälfte aller anfälligen Magento-Systeme ins Visier genommen. Die Schwachstelle ermöglicht es den Angreifern über die REST-API Datei-Uploads durchzuführen und damit Remote Code Execution oder Account-Übernahmen zu erreichen. Besonders besorgniserregend ist der Einsatz eines neuartigen Zahlungskarten-Skimmers, der über WebRTC-Protokolle verschlüsselte Daten exfiltriert und damit modernste Sicherheitskontrollen umgeht. Während Adobe zwar einen Patch entwickelt hat, steht dieser bislang nur in einer Beta-Version zur Verfügung. Für deutsche E-Commerce-Unternehmen, die auf Magento basieren, stellt dies ein erhebliches Risiko dar: Ohne schnelle Patching-Maßnahmen drohen Datenverluste, finanzielle Schäden und Reputationsschaden. Auch Verbraucher sind betroffen, deren Zahlungsdaten bei kompromittierten Shops gefährdet sind. Unternehmen müssen sofort prüfen, welche Magento-Versionen sie einsetzen und Schutzmaßnahmen implementieren.

Die PolyShell-Schwachstelle zählt zu den gefährlichsten Bedrohungen für die eCommerce-Branche in diesem Jahr. Sie liegt in Magentos REST-API, die Datei-Uploads als Teil von benutzerdefinierten Optionen für Warenkörbe akzeptiert. Diese sogenannten Polyglot-Dateien ermöglichen es Angreifern, beliebigen Code auszuführen oder sich Zugang zu Kundenkonten zu verschaffen – sofern die Webserver-Konfiguration dies zulässt.

“Die Massenausbeutung begann am 19. März, nur 48 Stunden nach der öffentlichen Offenlegung”, berichten die Sansec-Forscher. Diese rasante Ausbreitungsgeschwindigkeit ist typisch für kritische Schwachstellen mit hohem Ausnutzungspotenzial. Adobe veröffentlichte zwar bereits am 10. März einen Patch für die Beta-Version 2.4.9-beta1, doch dieser ist nicht in den stabilen Produktionszweig eingegangen – ein Problem für tausende Betreiber, die auf eine offizielle Sicherheitsaktualisierung warten.

Besonders innovativ ist die Malware-Strategie der Angreifer: Sie setzen einen neuen Zahlungskarten-Skimmer ein, der Web Real-Time Communication (WebRTC) nutzt, um gestohlene Daten zu exfiltrieren. Dies ist raffiniert, denn WebRTC verwendet verschlüsselte UDP-Verbindungen statt HTTP. Dadurch umgeht die Malware typische Content Security Policies (CSP) und andere sicherheitstechnische Kontrollen.

Der JavaScript-Loader verbindet sich mit einem Command-and-Control-Server über manipulierte SDP-Exchanges und empfängt zusätzliche Schadcode-Payloads über den verschlüsselten Kanal. Zur Vermeidung von Erkennungsmechanismen verzögert der Skimmer seine Ausführung mit ‘requestIdleCallback’. Sansec entdeckte diese Malware auf der Website eines Autoherstellers mit über 100 Milliarden Dollar Bewertung – die Benachrichtigungen des Sicherheitsunternehmens blieben unbeantwortet.

Für Betreiber von Magento-Installationen wird es kritisch: Ohne Patchmöglichkeit auf stabilen Versionen müssen sie auf alternative Schutzmaßnahmen zurückgreifen. Sansec veröffentlichte eine Liste mit verdächtigen IP-Adressen, die nach anfälligen Shops scannen, sowie weitere Indikatoren zur Defensivmaßnahmen. Deutsche eCommerce-Unternehmen sollten ihre Systeme sofort überprüfen und zu Adobe drängen, endlich einen Produktionspatch bereitzustellen.

Ähnliche Artikel