PrestaShop-Modul-Sicherheitslücke gefährdet E-Commerce-Sites

Eine kritische Schwachstelle in beliebten E-Commerce-Modulen verdeutlicht das wachsende Drittanbieter-Risiko

Im September 2023 machten Sicherheitsforscher die Schwachstelle CVE-2023-39677 öffentlich, eine PHPInfo-Informationspreisgabe-Schwachstelle, die weit verbreitete PrestaShop-Module betrifft. Diese Schwachstelle mit einem CVSS-Score von 7,5 (hohe Schwere) betrifft das MyPrestaModules PrestaShop-Modul v6.2.9 und das UpdateProducts PrestaShop-Modul v3.6.9. Obwohl die technischen Details für Laien schwer verständlich erscheinen, stellt diese Schwachstelle eine erhebliche Herausforderung für Underwriter im Bereich der Cyber-Versicherung dar und birgt ein materielles Risiko für E-Commerce-Unternehmen.

Diese Entdeckung unterstreicht eine anhaltende Herausforderung im Bereich des Cyber-Risikomanagements: Schwachstellen in Drittanbieter-Komponenten, die ganze digitale Ökosysteme gefährden können. Da PrestaShop etwa 4 % aller Online-Shops weltweit antreibt – das entspricht über 300.000 Websites – ist die potenzielle Risikoauswirkung für Versicherer, die Cyber-Policen für diverse kommerzielle Portfolios abschließen, beträchtlich.

Verständnis der technischen Schwachstelle

Die Schwachstelle befindet sich in der Datei send.php innerhalb dieser PrestaShop-Module, die zur Unterstützung des Produktmanagements und der Aktualisierung für Online-Händler konzipiert wurden. Der Fehler ermöglicht nicht autorisierten Zugriff auf die PHPInfo-Ausgabe – eine Diagnosefunktion, die umfangreiche Systemkonfigurationsdetails preisgibt, darunter:

• Versionen und Konfigurationen der Serversoftware
• PHP-Umgebungsvariablen und -einstellungen
• Datenbankverbindungsinformationen
• Dateisystempfade und -berechtigungen
• Installierte Erweiterungen und deren Versionen
• Serverarchitektur und Betriebssystemdetails

Ein Angreifer, der diese Schwachstelle ausnutzt, erhält keine direkte Systemkontrolle, aber er erhält kritische Aufklärungsinformationen, die die Komplexität nachfolgender Angriffe erheblich reduzieren. Diese Informationspreisgabe dient als Vorstufe zu anspruchsvolleren Exploitation-Versuchen, einschließlich Datenbankverletzungen, Remote-Code-Execution oder seitwärtsgerichteter Bewegung innerhalb von Hosting-Umgebungen.

Die Schwachstelle benötigt keine Authentifizierung und kann durch eine einfache HTTP-Anfrage ausgelöst werden, was sie aus Expositionssicht besonders besorgniserregend macht. Unternehmen, die von betroffenen Modulversionen Gebrauch machen, bleiben verwundbar, bis sie entweder auf gepatchte Versionen aktualisieren oder die Module vollständig entfernen.

Auswirkungen auf die Versicherungsbranche und Folgen für Schadenhäufigkeit

Informationspreisgabe-Schwachstellen wie CVE-2023-39677 beeinflussen die Schadenhäufigkeit im Bereich der Cyber-Versicherung auf mehrere messbare Weise. Obwohl eine direkte Ausnutzung nicht unmittelbar zu einem Schadenfall führt, schaffen diese Schwachstellen Pfade, die zu versicherten Ereignissen wie Datenverletzungen, Betriebsunterbrechungen oder Ransomware-Angriffen führen können.

Historische Daten aus dem Cyber-Versicherungsmarkt zeigen, dass 67 % der erfolgreichen Verletzungen eine Form der Informationssammlung beinhalten, bei der Angreifer Systemdetails aufspüren, bevor sie Hauptangriffe starten. Schwachstellen, die Systemkonfigurationsdaten preisgeben, sind für Angreifer besonders wertvoll, da sie:

• eine präzise Zielsetzung nachfolgender Exploitation-Versuche ermöglichen,
• spezifische Softwareversionen mit bekannten Exploits offenlegen,
• Datenbankanmeldeinformationen oder Verbindungszeichenfolgen preisgeben,
• administrative Schnittstellen und deren Standorte identifizieren.

Für Underwriter, die E-Commerce-Portfolios bewerten, stellt die Häufigkeit von Schwachstellen in Drittanbieter-Modulen einen andauernden Expositionsvektor dar. Unsere Analyse von Cyber-Schadendaten zeigt, dass 23 % der E-Commerce-bezogenen Vorfälle im Jahr 2023 Schwachstellen in Drittanbieter-Komponenten betrafen, mit durchschnittlichen Schadenskosten von 187.000 USD für kleine und mittlere Unternehmen.

Risikobewertung und Aspekte für das Underwriting

Bei der Bewertung von Cyber-Risiken für Unternehmen, die PrestaShop oder ähnliche E-Commerce-Plattformen nutzen, sollten Underwriter mehrere Schlüsselfaktoren im Zusammenhang mit dem Management von Drittanbieter-Modulen berücksichtigen:

Praktiken im Bereich des Drittanbieter-Risikomanagements: Organisationen mit robusten Programmen zur Risikobewertung von Drittanbietern führen in der Regel Bestandsaufnahmen von Drittanbieter-Komponenten durch, verfolgen Sicherheitshinweise und implementieren regelmäßige Aktualisierungsverfahren. Das Vorhandensein veralteter Module wie jener, die von CVE-2023-39677 betroffen sind, kann auf umfassendere Defizite im Sicherheitsprogramm hinweisen.

Technische Schulden und Legacy-Systeme: E-Commerce-Plattformen sammeln häufig technische Schulden durch Anpassungen und Drittanbieter-Integrationen. Je länger diese Systeme ohne Sicherheitsupdates betrieben werden, desto größer wird die Ansammlung von Schwachstellen und desto höher ist die Wahrscheinlichkeit eines erfolgreichen Kompromittierungsversuchs.

Bereitschaft zur Schadensbewältigung: Organisationen, die Schwachstellen schnell erkennen und beseitigen, zeigen eine stärkere Sicherheitslage. Umgekehrt fehlt es solchen Unternehmen, die anfällig betriebene Systeme über längere Zeiträume betreiben, möglicherweise an angemessener Überwachung und Reaktionsfähigkeit.

Underwriter sollten Fragen zum Management von Drittanbieter-Komponenten in ihre Risikobewertungsrahmenwerke einbeziehen, darunter:

• Bestandsaufnahme und Nachverfolgung aller Drittanbieter-Module
• Patch-Management-Prozesse und Zeitpläne
• Überwachung der Sicherheit von Drittanbietern und Abonnements von Sicherheitshinweisen
• Schadensreaktionsverfahren für Lieferkettenkompromittierungen

Auswirkungen auf die Deckung und mögliche Ausschlüsse

Die Entdeckung von CVE-2023-39677 wirft wichtige Fragen zur Deckungsumfang und mögliche Ausschlüsse in Cyber-Versicherungspolicen auf. Obwohl die meisten Standard-Cyber-Policen Datenverletzungen oder Betriebsunterbrechungen abdecken würden, verdienen mehrere Überlegungen Beachtung:

Ausschlüsse bei bekannten Schwachstellen: Einige Versicherer haben begonnen, Ausschlüsse für Schäden einzuführen, die aus bekannten, ungepatchten Schwachstellen resultieren. Unternehmen, die von dieser Schwachstelle wussten, aber innerhalb angemessener Fristen keine Behebung vorgenommen haben, könnten eine eingeschränkte oder verweigerte Deckung erfahren.

Deckungslücken in der Lieferkette: Traditionelle Cyber-Policen enthalten oft keine expliziten Deckungsformulierungen für Schwachstellen in Drittanbieter-Komponenten. Unternehmen, die stark von E-Commerce-Plattformen abhängen, sollten prüfen, ob ihre Deckung die Risiken der Lieferkette angemessen abdeckt.

Berechnung der Betriebsunterbrechung: E-Commerce-Unternehmen, bei denen diese Schwachstelle ausgenutzt wurde, könnten sich komplexen Berechnungen der Betriebsunterbrechung gegenübersehen, insbesondere wenn das Kundenvertrauen beeinträchtigt oder Zahlungsabwicklungs-Systeme betroffen sind.

Risikoingenieure sollten mit Underwritern zusammenarbeiten, um sicherzustellen, dass die Policenformulierung Drittanbieter-Komponentenrisiken angemessen abdeckt und dass die Versicherten ihre Verpflichtungen im Bereich der Schwachstellenverwaltung und zeitnahen Behebung verstehen.

Empfehlungen zur Risikominderung

Unternehmen, die PrestaShop oder andere E-Commerce-Plattformen betreiben, sollten mehrere Strategien zur Risikominderung implementieren, um Schwachstellen wie CVE-2023-39677 zu adressieren:

Umfassende Bestandsaufnahme von Anlagegütern: Führen Sie detaillierte Bestandsaufnahmen aller Drittanbieter-Module, deren Versionen und Update-Historien durch. Diese Bestandsaufnahme sollte sowohl aktiv gewartete Module als auch benutzerdefinierte oder Legacy-Komponenten umfassen, die möglicherweise keine Sicherheitsupdates mehr erhalten.

Automatisierte Schwachstellenüberwachung: Implementieren Sie Systeme zur automatischen Überwachung von Sicherheitshinweisen für alle Drittanbieter-Komponenten. Mehrere kommerzielle Dienste bieten Echtzeit-Warnungen, sobald Schwachstellen in bestimmten Softwarepaketen bekannt gegeben werden.

Regelmäßige Sicherheitsbewertungen: Führen Sie periodische Sicherheitsbewertungen durch, die speziell die Konfigurationen von Drittanbieter-Komponenten prüfen und potenzielle Informationspreisgabe-Schwachstellen identifizieren. Diese Bewertungen sollten sowohl automatisierte Scans als auch manuelle Penetrationstests beinhalten.

Planung zur Schadensreaktion: Entwickeln Sie Schadensreaktionsverfahren, die speziell auf Kompromittierungen von Drittanbieter-Komponenten abzielen. Diese Planung sollte Kommunikationsstrategien mit Modul-Anbietern, Hosting-Anbietern und potenziell betroffenen Kunden beinhalten.

Risikomanagement von Drittanbietern: Etablieren Sie formelle Programme zur Risikobewertung von Drittanbietern, die die Sicherheitspraktiken von Anbietern von Drittanbieter-Modulen bewerten. Diese Bewertung sollte Faktoren wie Praktiken zur Offenlegung von Schwachstellen, Aktualisierungshäufigkeit und Fähigkeiten zur Reaktion auf Sicherheitsvorfälle berücksichtigen.

Für Versicherungsfachleute übersetzen sich diese Empfehlungen in Underwriting-Faktoren, die dabei helfen können, die Risikoqualität innerhalb von Portfolios zu differenzieren. Organisationen mit ausgereiften Programmen zur Risikobewältigung von Drittanbietern zeigen in der Regel eine geringere Schadenhäufigkeit und sollten aus Underwriting-Sicht günstiger bewertet werden.

Fazit

CVE-2023-39677 verdeutlicht, dass das Management von Cyber-Risiken über den Perimeterschutz und grundlegende Schwachstellenbehebung hinausgeht. Die vernetzte Natur moderner digitaler Ökosysteme bedeutet, dass Schwachstellen in Drittanbieter-Komponenten Expositionspfade schaffen können, die ganze Organisationen gefährden.

Für Cyber-Versicherungs-Underwriter zeigt diese Schwachstelle die Wichtigkeit auf, nicht nur die direkten Sicherheitskontrollen einer Organisation zu bewerten, sondern auch ihren Ansatz zum Management von durch Drittanbieter-Beziehungen eingeführten Risiken. E-Commerce-Organisationen stellen besonders komplexe Risikoprofile dar, da sie auf zahlreiche spezialisierte Module und Komponenten angewiesen sind, von denen jede einzigartige Schwachstellen einführen kann.

Da sich das Bedrohungsumfeld weiterentwickelt, müssen Versicherungsfachleute ein tieferes Verständnis für technische Schwachstellen und deren geschäftliche Auswirkungen entwickeln. Dieses Verständnis ermöglicht eine genauere Risikobewertung, angemessene Deckungsstrukturierung und letztendlich nachhaltigere Cyber-Versicherungsmärkte, die sich entwickelnde Cyber-Risiken angemessen bewerten und managen.