Kritiek veiligheidslek in Magento modules EM_Ajaxproducts en Cart2Quote

Update 2 februari: check nu op MageReport.com of je shop veilig is!

Update 2 februari: Cart2Quote heeft een patch uitgebracht.

Sinds gisterenavond zien we dat er actief misbruik wordt gemaakt van een veiligheidslek in de Magento modules: EM-Ajaxproducts en Cart2Quote. Door misbruik te maken van dit Remote Code Execution lek kunnen kwaadwillende de volledige controle krijgen over je Magento shop.

De kwetsbaarheid zit in alle versies van beide modules. Voor zover wij weten hebben beide makers nog geen veilige versie uitgebracht. Gezien de ernst van het lek en het actieve misbruik adviseren we iedereen de modules zo snel mogelijk te deïnstalleren.

Host je je shop bij Byte?

Dan kan je shop al rekenen op een eerste noodverband! Dankzij onze automatische teststraat-setup op het Hypernode platform konden we al heel snel een noodmaatregel over het gehele platform doorvoeren. Ook op het Magento shared platform en op de Dedicated servers is er een noodverband uitgerold.

Maar let op: deze blokkades beschermen je shop tegen misbruik zoals we dat nu zien. Het kan zijn dat hackers in de komende dagen manieren ontdekken om die blokkade te omzeilen, waardoor ze alsnog misbruik kunnen maken van het lek. Verwijder dus zo snel mogelijk de modules.

Controleer je shop

Op dit moment zijn we druk bezig om een MageReport check te maken. Tot die tijd raden we je aan om zelf je shop grondig te controleren op verdachte gebruikers en aangepaste code. Tips:

  1. Controleer aan de hand van versiebeheer of er bestanden veranderd zijn (git status).
  2. Gebruik de Hypernode Malware Scanner om bekende malware te vinden (hypernode-mwscan -s byte /data/web).
  3. Vergelijk je bestanden met een betrouwbare backup.

 op

Merel is contentmarketeer en communicatiespecialist. In haar dagelijkse werkzaamheden stort ze zich vol enthousiasme op het schrijven van interessante content, het organiseren van evenementen en de communicatie van Byte. Buiten het werk staat Merel het liefst in de kroeg, op het voetbalveld of hangend op de bank voor een goede film of serie.