Veel grote Nederlandse websites zijn getroffen door een bug in het e-commerce-platform Magento. Het lek is al twee maanden geleden gedicht, maar slechts de helft van de Nederlandse webshops heeft zijn Magento-installatie bijgewerkt naar de nieuwste versie.
Het lek in Magento zorgt ervoor dat aanvallers eigen code op een website met Magento kunnen uitvoeren. De bug is al in februari gepatcht, maar veel webwinkels hebben hun installatie nog niet bijgewerkt naar de nieuwste versie. Onder de getroffen webwinkels zijn ook veel Nederlandse bedrijven, waaronder een webwinkel van KLM voor zijn frequent flyers en een accessoirewinkel van T-Mobile. Ook de webshops van De Volkskrant, Het Parool, het Algemeen Dagblad en Trouw waren kwetsbaar. Dat ontdekte Willem de Groot.
De genoemde webwinkels zijn inmiddels gepatcht. Veel webwinkels hebben hun installatie echter nog niet bijgewerkt, blijkt uit een overzicht van kwetsbare webshops die De Groot heeft samengesteld met een tool die zoekt naar kwetsbare installaties. Daaronder zijn een grote vliegtuigmaatschappij, een oliemaatschappij, een groot consultancykantoor en een energieleverancier. Gebruikers kunnen controleren of een Magento-installatie kwetsbaar is via een tool van de webwinkelsoftware
Aanvallers proberen waarschijnlijk op grote schaal in te breken op kwetsbare Magento-installaties. "In onzeaccess logs zien we dat websites van onze klanten worden gescand vanaf acht ip-adressen, voornamelijk vanuit Rusland", aldus De Groot. De kans is daarom zeer groot dat Magento-installaties die nu nog niet zijn bijgewerkt, inmiddels zijn geïnfecteerd. Daarbij kan een aanvaller bijvoorbeeld cookies van gebruikers stelen, informatie uit de database halen of dieper in de webserver proberen door te dringen.
Een week geleden werd het aantal kwetsbare webshops op 100.000 geschat; hoeveel er nu nog kwetsbaar zijn, is niet bekend. In Nederland is 50 procent van de webshops kwetsbaar, blijkt uit een scan van De Groot. Daarmee doet Nederland het internationaal relatief goed: in de Verenigde Staten ligt het aantal ongepatchte webshops op 60 procent, in Rusland op 77 procent en in China zelfs op 84 procent.
Tweakers.net