Tausende Magento-Websites gehackt (März 2026)

Derzeit läuft wohl eine Kampagne, bei der Magento-Websites gehackt und mit einer Defacement-Meldung verunstaltet werden. Es sollen wohl Tausende an Magento-Websites betroffen sein. Am 7. März 2026 waren alleine 7.500 Magento Webseiten (bzw. Shops) betroffen, wie ein Sicherheitsanbieter mitteilte. Ergänzung: Die Schwachstelle soll demnächst behoben werden. Aber gut 50% der Magento-Installationen scheinen angegriffen worden zu sein.

Ich bin über nachfolgenden Tweet bzw. den Security Week-Artikel Thousands of Magento Sites Hit in Ongoing Defacement Campaign auf den Sachverhalt gestoßen.

netcraft deckt die Kampagne auf

Die Kampagne läuft seit dem 27. Februar 2026, wie netcraft in diesem Artikel schreibt. Deren Sicherheitsforscher haben eine andauernde Kampagne identifiziert, bei der Tausende von Magento-E-Commerce-Websites in verschiedenen Branchen und Regionen kompromittiert und verunstaltet wurden.

Seit dem 27. Februar 2026 haben Angreifer Defacement-TXT-Dateien auf etwa 15.000 Hostnamen verteilt, die sich auf 7.500 Domains erstrecken, darunter Infrastrukturen, die mit bekannten globalen Marken, E-Commerce-Plattformen und staatlichen Diensten in Verbindung stehen, heißt es.

Während eine kleine Anzahl der Verunstaltungen geopolitische Botschaften enthielt, scheint es sich bei der Mehrheit um opportunistische Angriffe zu handeln, die eher der Zurechnung und dem Ansehen innerhalb des Defacement-Ökosystems dienen als um gezielten Hacktivismus, merken die Sicherheitsforscher von netcraft an.

Erste Untersuchungen der Spezialisten deuten darauf hin, dass die betroffenen Websites mit Magento betrieben werden und die Defacements offenbar die Fähigkeit des Angreifers demonstrieren, Klartextdateien in öffentlich zugängliche Webverzeichnisse hochzuladen.

Die spannende Frage ist nun, warum es den Angreifern gelingt, die betreffenden Dateien auf Magento-Instanzen hochzuladen. Mein erster Gedanke ist: Da muss es eine Schwachstelle geben.

Eine Schwachstelle ermöglicht Datei-Uploads

Erste Untersuchungen von netraft deuten darauf hin, dass Angreifer möglicherweise eine nicht authentifizierte Datei-Upload-Funktion ausnutzen, die in einigen, jedoch nicht allen Magento-Umgebungen vorhanden ist. Zum Zeitpunkt dieser Veröffentlichung hat Netcraft bislang nur textbasierte Dateiverfälschungen festgestellt.

Die Sicherheitsforscher schreiben aber, dass es noch nicht bestätigt ist, ob dieses Verhalten mit einer bestimmten Magento-Sicherheitslücke oder einer Fehlkonfiguration zusammenhängt. Im netcraft-Artikel finden sich noch weitere Details bzw. einige Screenshots der Defacement-Mitteilungen.

Die Schwachstelle soll bald geschlossen werden

Ergänzung: Ein Leser hat mich in nachfolgendem Tweet darüber informiert, dass es eine "unrestricted file upload"-Schwachstelle in allen Magento Open Source und Adobe Commerce-Versionen bis zu 2.4.9-alpha2 geben.

Das Sansec-Team hat die Details in diesem Beitrag zum 17. März 2026 veröffentlicht. Der anfällige Code ist laut Artikel bereits seit der allerersten Magento-2-Version vorhanden. Adobe hat ihn im Vorab-Release-Zweig 2.4.9 im Rahmen von APSB25-94 behoben, doch für aktuelle Produktionsversionen gibt es keinen eigenständigen Patch.

Zwar stellt Adobe eine Beispielkonfiguration für den Webserver bereit, die die Auswirkungen weitgehend begrenzen würde, doch die meisten Shops verwenden eine benutzerdefinierte Konfiguration ihres Hosting-Anbieters. Sansec untersuchte alle bekannten Magento- und Adobe Commerce-Shops und stellte fest, dass viele Shops Dateien im Upload-Verzeichnis offenlegen.

Selbst wenn die Ausführung blockiert ist, verbleibt die hochgeladene Datei auf der Festplatte. Eine zukünftige Konfigurationsänderung, Servermigration oder ein Wechsel des Webservers könnte sie offenlegen.

Nachtrag: Die Kollegen von Bleeping Computer berichten in diesem Artikel, dass PolyShell-Angriffe gegen 50% der Magento-Shops gefahren werden.