De SessionReaper kwetsbaarheid heeft ons de afgelopen weken flink beziggehouden. Inmiddels is de kwetsbaarheid gepatcht, maar in sommige gevallen kan de patch nog problemen veroorzaken. Om webshops te helpen, hebben we een gratis tool ontwikkeld waarmee je kunt controleren of jouw webshop nog kwetsbaar is voor SessionReaper.
De kwetsbaarheid van SessionReaper
De SessionReaper kwetsbaarheid blijkt ernstiger te zijn dan gedacht. Onderzoekers van Searchlight Cyber ontdekten dit nadat zij de patch nader onderzochten om te achterhalen wat het kritieke lek precies inhoudt. Uit hun analyse bleek dat het gaat om een zeer ernstig beveiligingslek, waardoor het van essentieel belang is om de patch zo snel mogelijk te installeren.
Wat is precies het probleem? Hackers kunnen via deze kwetsbaarheid code injecteren in jouw webshop. Zonder patch kunnen zij via de API van Magento ongewenste bestanden op de server plaatsen. In deze bestanden kunnen ze vervolgens schadelijke code opslaan en uitvoeren binnen je webshop.
De gratis tool om de kwetsbaarheid te checken: Magento Analyzer
3WebApps heeft een gratis tool ontwikkeld. Hoe werkt het? Vul de URL van jouw Magento-webshop in het oranje balkje in. Vervolgens krijg je verschillende informatie te zien, zoals Version Check, Magento Setup Info en Server Info.
Version check
De Version Check laat zien op welke versie van Magento jouw webshop draait. Draait jouw webshop op de nieuwste versie van Magento? Dan verschijnt er een groen scherm. Gebruik je een oudere versie, dan krijg je een rood scherm te zien. In dat geval toont het scherm ook op welke versie van Magento je waarschijnlijk draait.
Daarnaast geven we een advies om direct te updaten. Waarom is dat belangrijk? Hackers zijn vaak op de hoogte van bekende kwetsbaarheden. De nieuwste versie van Magento verkleint de kans dat jouw webshop een doelwit wordt. Zeker bij een kritisch lek zoals SessionReaper is het van essentieel belang om altijd de laatste versie van Magento te gebruiken.
Magento Setup info
In de Magento Setup-info zie je verschillende gegevens rondom de setup van jouw webshop. Zo zie je bijvoorbeeld op welk thema je draait, in welke omgeving je webshop draait en wanneer de laatste deploy was. Dit is allemaal standaardinformatie.
Ook zie je of Content Security Policy is ingeschakeld. Is deze ingeschakeld? Dan krijg je een groen scherm te zien. Is deze niet ingeschakeld? Dan krijg je een rood scherm te zien. In een ander artikel lees je meer over de Content Security Policy en waarom het belangrijk is om deze toe te passen. Lees dat hier.
Server info
Als laatste zie je informatie over de server. Deze informatie kan voor iedere webshop anders zijn, afhankelijk van de serverinstellingen. De informatie die je kunt zien, is bijvoorbeeld:
- Webservertechnologie
- Hostinglocatie
- Content Delivery Network
- Cachingtechnologie
De SessionReaper kwetsbaarheid patch zorgt voor andere complicaties
Adobe heeft voor de SessionReaper kwetsbaarheid twee beveiligingspatches uitgebracht: één spoedpatch in september en een geplande beveiligingspatch in oktober. De SessionReaper kwetsbaarheid is hiermee volledig verholpen. Alleen door de geplande beveiligingspatch in oktober zijn echter complicaties ontstaan.
De grote beveiligingspatch bevat meerdere elementen buiten de SessionReaper kwetsbaarheid om. Ook introduceert Adobe nieuwe features voor jouw webshop. Alleen zit er momenteel een complicatie in deze features. Wat is het probleem? Momenteel worden bepaalde CSS- en JavaScript bestanden soms niet meer goed gegenereerd.
Hierdoor kunnen er problemen ontstaan. Bijvoorbeeld in de check-out of het filteren van producten. Adobe is op de hoogte van de complicatie en is bezig om de features te optimaliseren, zodat er geen problemen meer zijn.