Sicherheitswarnung: Amazon Secret Key öffentlich einsehbar (CVE-2020-28199)

Sicherheitsforscher von aramido entdeckten eine Sicherheitslücke in einem Amazon Pay Plugin für Shopware 5, welches von der best it AG entwickelt wird. Das Plugin wird von zahlreichen Kunden als Amazon Pay Integration für Shopware verwendet und ist weit verbreitet. Im Rahmen der aramido-Richtlinien zum verantwortlichen Offenlegen von Sicherheitslücken meldete aramido die Schwachstelle an den Hersteller zur Behebung, die bis zum 25.09.2020 erfolgte. Der von aramido formulierte Sicherheitshinweis kann öffentlich eingesehen werden. In Absprache mit dem Hersteller sowie Amazon Pay wurde die Veröffentlichung der Schwachstelle für Q1 2021 terminiert. Nach dem koordinierten Disclosure haben Amazon und der Hersteller sofort reagiert, mit den beteiligten Parteien professionell eine Lösung erarbeitet und schnell für eine aktualisierte Plugin-Version gesorgt.

Unberechtigte Dritte hätten Amazon Secret Access Key auslesen können

Das Plugin erweitert Shopware um eine Funktionalität zur Zahlung mit Amazon Pay. Die Sicherheitsforscher konnten feststellen, dass nicht authentifizierte Benutzer aufgrund einer unzureichenden Prüfung unter Umständen den Secret Access Key auslesen können, der dem Händler zur Authentifikation gegenüber Amazon Pay dient. Die Schwachstelle kann bei aktiviertem JSON-Renderer in Verbindung anderer Plugins ausgenutzt werden. Wird dabei der Enlight_Controller verwendet, wird das Secret durch eine fehlende Prüfung in einer JSON-Response hinzugefügt.

Betreiber von Shopware 5 Shops mit Amazon Pay sollten die Verwendung sowie die Aktualität des Plugins prüfen

Der Hersteller fordert eine schnellstmögliche Aktualisierung des Plugins auf mindestens die Version 9.4.2, um die Schwachstelle zu schließen. Da die Schwachstelle sehr einfach auszunutzen ist, ist das Risiko einer Kompromittierung des Schlüssels sehr wahrscheinlich. Zudem sollte nach einem Update der Schlüssel rotiert (neu erstellt) werden, sodass einem möglichen vorherigen Diebstahl des Schlüssels entgegengewirkt wird. Zudem sollten Aktivitäten bei Amazon Pay auf Auffälligkeiten geprüft werden.

Die Sicherheitslücke wurde am 14.09.2020 von aramido an den Hersteller gemeldet. Die Schwachstelle hat die CVE-2020-28199 erhalten. Die best it AG meldete die Behebung am 25.09.2020 und veröffentlichte eine neue Version des Plugins am 29.09.2020. Nach Abstimmung mit best it AG und Amazon Pay wurde ein koordinierter Prozess zur Benachrichtigung über die Schwachstelle an die Kunden eingeleitet und die Veröffentlichung auf den 01.02.2021 festgelegt.