Vor einigen Tagen hatte ich über eine Kampagne berichtet, bei der über 7.500 Magento-Shops gehackt und mit einer Defacement-Meldung versehen wurden. Die Kampagne läuft seit Ende Februar 2026. Nun lese ich, dass gut 50 % der Magento-Online-Shops, die eine Schwachstelle aufweisen, über eine PolyShell-Kampagne angegriffen wurden.
Magento, eine kurze Einordnung
Vorab ein kurzer Überblick, was Magento eigentlich ist. Es handelt sich bei Magento um eine Onlineshop-Software, die in der Version 1.0 erstmals am 31. März 2008 als Open-Source-E-Commerce-Plattform veröffentlicht wurde. Der Entwickler ist die gleichnamige Firma Magento (ehemals Varien). Die Magento Inc. war von Juni 2011 bis November 2015 eine hundertprozentige Tochter von eBay und gehörte zur X.Commerce Business Unit. Am 2. November 2015 es eine Übernahme der Magento Inc. durch das Private-Equity-Unternehmen Permira. Im Juni 2018 wurde der vollständige Verkauf von Magento an Adobe Inc. bekannt gegeben. Seit dem gibt es eine Open Source-Variante und eine kommerzielle Variante von Adobe.
Rückblick auf die Defacement-Kampagne
Sicherheitsforscher von netcraft haben eine Kampagne aufgedeckt, bei der Tausende von Magento-E-Commerce-Websites in verschiedenen Branchen und Regionen kompromittiert und verunstaltet wurden. Bei der seit dem 27. Februar 2026 laufenden Kampagne wurden Defacement-TXT-Dateien auf etwa 15.000 Hostnamen verteilt, die sich auf 7.500 Domains erstrecken, wie netcraft in diesem Artikel schreibt. Ich hatte zum 23. März 2026 im Blog-Beitrag Tausende Magento-Websites gehackt (März 2026) über diesen Sachverhalt berichtet. Die Sicherheitsforscher von netcraft vermuteten damals eine Schwachstelle in der Magento-Software.
PolyShell-Schwachstelle in Magento
Ein Blog-Leser wies mich darauf hin, dass es eine "unrestricted file upload"-Schwachstelle in allen Magento Open Source- und Adobe Commerce-Versionen bis zu 2.4.9-alpha2 gebe (ich hatte das im oben erwähnten Blog-Beitrag nachgetragen). Das Sansec-Team hat die Details zur PolyShell-Schwachstelle zum 17. März 2026 in diesem Beitrag veröffentlicht.
Der anfällige Code für PolyShell-Angriffe ist laut Artikel bereits seit der allerersten Magento-2-Version vorhanden. Adobe hat ihn im Vorab-Release-Zweig 2.4.9 im Rahmen von APSB25-94 behoben. Nur sei an dieser Stelle der zarte Hinweis angebracht, dass dieses Sicherheitsbulletin bereits am 14. Oktober 2025 veröffentlicht wurde.
Der letzte Sicherheitshinweis von Adobe stammt vom 10. März 2026 und bezieht sich auf Adobe Commerce 2.4.8-Sicherheits-Patches. Der Blog-Leser schrieb die Tage: "für aktuelle Produktionsversionen gibt es keinen eigenständigen Patch".
PolyShell-Angriffe auf Magento
Die Kollegen von Bleeping Computer haben bereits zum 25. März 2026 in diesem Artikel darauf hingewiesen, dass 56 % aller anfälligen Magento-Shops durch die PolyShell-Kampagne angegriffen werden. Sicherheitsforscher von Sansec haben einen Zahlungs-Skimmer für Online-Shops entdeckt, der WebRTC-Datenkanäle nutzt. Dadurch kann er Nutzdaten aus Zahlungsvorgängen ausleiten und CSP- und HTTP-basierte Sicherheitstools umgehen.
Neben einem großen Autohersteller sind Banken und Supermärkte Opfer dieses Skimmers, wobei die Sicherheitsforscher von Sansec einen PolyShell-Angriff als Einfallstor für den Skimmer vermuten. Das Ganze ist im Artikel Novel WebRTC skimmer bypasses security controls at $100+ billion car maker dokumentiert.
Die Sicherheitsforscher von Sansec schreiben, dass sie seit dem 19. März 2026 eine massenhafte Kampagne von PolyShell-Angriffen auf anfällige Magento-Online-Shops beobachten konnten. Sansec hat inzwischen festgestellt, dass 56,7 % aller anfälligen Shops von PolyShell-Angriffen betroffen sind. Wer also für einen Magento-Online-Shop zuständig ist, sollte sich die Details zur PolyShell-Schwachstelle in diesem Beitrag ansehen und prüfen, ob der Shop kompromittiert ist. Dort findet sich auch eine Liste mit IP-Adressen, die Magento-Online-Stores auf Anfälligkeiten scannen.
MVP: 2013 – 2016
