Sicherheitswarnung: Amazon Secret Key öffentlich einsehbar (CVE-2020-28199)

Sicherheitsforscher von aramido entdeckten eine SicherheitslĂŒcke in einem Amazon Pay Plugin fĂŒr Shopware 5, welches von der best it AG entwickelt wird. Das Plugin wird von zahlreichen Kunden als Amazon Pay Integration fĂŒr Shopware verwendet und ist weit verbreitet. Im Rahmen der aramido-Richtlinien zum verantwortlichen Offenlegen von SicherheitslĂŒcken meldete aramido die Schwachstelle an den Hersteller zur Behebung, die bis zum 25.09.2020 erfolgte. Der von aramido formulierte Sicherheitshinweis kann öffentlich eingesehen werden. In Absprache mit dem Hersteller sowie Amazon Pay wurde die Veröffentlichung der Schwachstelle fĂŒr Q1 2021 terminiert. Nach dem koordinierten Disclosure haben Amazon und der Hersteller sofort reagiert, mit den beteiligten Parteien professionell eine Lösung erarbeitet und schnell fĂŒr eine aktualisierte Plugin-Version gesorgt.

Unberechtigte Dritte hÀtten Amazon Secret Access Key auslesen können

Das Plugin erweitert Shopware um eine FunktionalitĂ€t zur Zahlung mit Amazon Pay. Die Sicherheitsforscher konnten feststellen, dass nicht authentifizierte Benutzer aufgrund einer unzureichenden PrĂŒfung unter UmstĂ€nden den Secret Access Key auslesen können, der dem HĂ€ndler zur Authentifikation gegenĂŒber Amazon Pay dient. Die Schwachstelle kann bei aktiviertem JSON-Renderer in Verbindung anderer Plugins ausgenutzt werden. Wird dabei der Enlight_Controller verwendet, wird das Secret durch eine fehlende PrĂŒfung in einer JSON-Response hinzugefĂŒgt.

Betreiber von Shopware 5 Shops mit Amazon Pay sollten die Verwendung sowie die AktualitĂ€t des Plugins prĂŒfen

Der Hersteller fordert eine schnellstmögliche Aktualisierung des Plugins auf mindestens die Version 9.4.2, um die Schwachstelle zu schließen. Da die Schwachstelle sehr einfach auszunutzen ist, ist das Risiko einer Kompromittierung des SchlĂŒssels sehr wahrscheinlich. Zudem sollte nach einem Update der SchlĂŒssel rotiert (neu erstellt) werden, sodass einem möglichen vorherigen Diebstahl des SchlĂŒssels entgegengewirkt wird. Zudem sollten AktivitĂ€ten bei Amazon Pay auf AuffĂ€lligkeiten geprĂŒft werden.

Die SicherheitslĂŒcke wurde am 14.09.2020 von aramido an den Hersteller gemeldet. Die Schwachstelle hat die CVE-2020-28199 erhalten. Die best it AG meldete die Behebung am 25.09.2020 und veröffentlichte eine neue Version des Plugins am 29.09.2020. Nach Abstimmung mit best it AG und Amazon Pay wurde ein koordinierter Prozess zur Benachrichtigung ĂŒber die Schwachstelle an die Kunden eingeleitet und die Veröffentlichung auf den 01.02.2021 festgelegt.