Eine neu entdeckte Schwachstelle mit der Bezeichnung „PolyShell“ betrifft Magento Open Source sowie Adobe Commerce und wird bereits aktiv ausgenutzt. Es handelt sich um eine nicht authentifizierte Datei-Upload-Lücke innerhalb der REST API, die es Angreifern ermöglicht, beliebige Dateien auf den Server hochzuladen und anschließend Remote Code Execution (RCE) zu erreichen.
Besonders kritisch ist, dass für den Angriff keinerlei Authentifizierung erforderlich ist. Damit sind öffentlich erreichbare Magento-Instanzen unmittelbar angreifbar. Nahezu alle Magento-2-Versionen sind betroffen. In kompromittierten Systemen lassen sich unter anderem Backdoors platzieren, Benutzerkonten übernehmen oder Zahlungsdaten abgreifen.
Technisch basiert die Schwachstelle auf einer unzureichenden Validierung von Datei-Uploads über die API, insbesondere im Zusammenhang mit „custom_options“. Angreifer nutzen sogenannte Polyglot-Dateien, um Prüfmechanismen zu umgehen. Die hochgeladenen Dateien werden typischerweise im Verzeichnis „/pub/media/custom_options/quote/“ abgelegt und können – abhängig von der Serverkonfiguration – direkt ausgeführt werden.
Zur Absicherung sollten umgehend Maßnahmen ergriffen werden. Der Zugriff auf das betroffene Upload-Verzeichnis sollte serverseitig unterbunden werden. Zusätzlich empfiehlt sich der Einsatz oder die Erweiterung bestehender WAF-Regeln, um verdächtige Upload-Requests zu blockieren. Systeme sollten gezielt auf bereits abgelegte Schaddateien überprüft werden, insbesondere innerhalb der genannten Verzeichnisstruktur. Parallel dazu ist ein verstärktes Monitoring von API-Zugriffen sowie ausgehendem Netzwerkverkehr sinnvoll.
Schneller Workaround (bis offizieller Patch verfügbar ist)
Bis ein stabiler Sicherheitspatch für Magento bereitsteht, sollten kurzfristig zusätzliche Schutzmaßnahmen umgesetzt werden. Der Einsatz eines Community-Patches kann dabei sinnvoll sein, beispielsweise:
https://github.com/markshust/magento-polyshell-patch/
Zusätzlich sollte sichergestellt werden, dass der Zugriff auf das Verzeichnis
/pub/media/custom_options/durch die Webserver-Konfiguration (Nginx oder Apache) vollständig blockiert wird, sodass dort keine Dateien ausgeliefert oder ausgeführt werden können.
Nach Anwendung eines Patches oder der Schutzmaßnahmen empfiehlt sich eine Überprüfung auf bereits hochgeladene Dateien:
find pub/media/custom_options/ -type f ! -name '.htaccess'Gefundene Dateien sollten sorgfältig analysiert und im Zweifel entfernt werden.
Ein stabiler Patch steht aktuell noch nicht für produktive Umgebungen zur Verfügung. Erste Fixes sind lediglich in Vorabversionen von Magento 2.4.9 enthalten, wodurch für viele Installationen weiterhin ein erhöhtes Risiko besteht.
Betreiber von Magento-Systemen sollten daher kurzfristig reagieren, Schutzmaßnahmen implementieren und bestehende Installationen als potenziell kompromittiert betrachten.
Weitere technische Details und Analyse:
https://slcyber.io/research-center/magento-polyshell-unauthenticated-file-upload-to-rce-in-magento-apsb25-94/
