WebRTC-Skimmer hebelt CSP aus und stiehlt Zahlungsdaten : Neue Angriffstechnik nutzt Echtzeitkommunikation zur unauffälligen Datenexfiltration
Ein neu entdeckter Web-Skimmer markiert eine gefährliche Eskalation im E-Commerce-Betrug. Statt klassischer HTTP-Kommunikation nutzt die Malware WebRTC-Datenkanäle – und umgeht damit etablierte Schutzmechanismen wie die Content Security Policy nahezu vollständig.
Cybersicherheits-Analysten haben eine neue Generation von Zahlungs-Skimmern identifiziert, die gezielt moderne Web-Technologien missbrauchen. Im Zentrum steht eine bislang kaum beachtete Angriffsfläche: WebRTC.
„Anstelle der üblichen HTTP-Anfragen oder Bild-Beacons nutzt diese Malware WebRTC-Datenkanäle, um ihre Payload zu laden und gestohlene Zahlungsdaten zu exfiltrieren“, erklärte Sansec. Der Angriff wurde auf der E-Commerce-Plattform eines Automobilherstellers beobachtet. Er nutzt eine kritische Schwachstelle namens PolyShell, die sowohl Magento Open Source als auch Adobe Commerce betrifft.
WebRTC als blinder Fleck der Sicherheitsarchitektur
Der Skimmer agiert als selbstausführendes Skript und baut über den UDP-Port 3479 eine Peer-to-Peer-Verbindung zu einer fest hinterlegten IP-Adresse auf. Darüber lädt er schädlichen JavaScript-Code nach und injiziert ihn direkt in die Zielseite, um Zahlungsdaten abzugreifen.
Besonders brisant ist die Umgehung klassischer Sicherheitsmechanismen:
• Umgehung der Content Security Policy (CSP) durch WebRTC-Kommunikation
• Exfiltration über DTLS-verschlüsseltes UDP statt über HTTP
• Unsichtbarkeit für klassische Netzwerk-Sicherheitslösungen
„Ein Shop mit einer strengen CSP, die alle nicht autorisierten HTTP-Verbindungen blockiert, ist dennoch für WebRTC-basierte Datenexfiltration weit offen“, so Sansec weiter. Der Grund: WebRTC nutzt verschlüsselte Datenkanäle außerhalb des klassischen HTTP-Verkehrs. Sicherheitslösungen, die auf die Analyse von Webanfragen ausgelegt sind, greifen hier ins Leere.
PolyShell: Massiv ausgenutzte Schwachstelle
Ermöglicht wird der Angriff durch PolyShell – eine kritische Sicherheitslücke, die seit dem 19. März 2026 aktiv ausgenutzt wird. Laut Sansec sind mehr als 50 IP-Adressen an automatisierten Scan-Aktivitäten beteiligt. Die Dimension ist erheblich: 56,7 Prozent aller verwundbaren Shops wurden bereits Ziel entsprechender Angriffe.
Die Schwachstelle erlaubt es nicht authentifizierten Angreifern, über die REST-API beliebige Dateien hochzuladen und auszuführen. Ursache ist eine fehlerhafte Validierung in der Funktion ImageProcessor::processImageContent(). Diese prüft lediglich grundlegende Eigenschaften:
• Datei ist nicht leer und besitzt eine gültige Größe
• MIME-Typ wirkt plausibel
• Dateiname enthält keine verbotenen Zeichen
Eine entscheidende Kontrolle fehlt jedoch: Die Übereinstimmung zwischen Dateiendung und tatsächlichem Inhalt. Dadurch können Angreifer sogenannte Polyglot-Dateien einschleusen – Dateien, die gleichzeitig als Bild und als ausführbarer Code interpretiert werden können.
Fehlkonfigurationen als zusätzlicher Risikofaktor
Ein erfolgreicher Angriff hängt zudem stark von der Serverkonfiguration ab. „Wenn Sie die von Adobe empfohlenen Nginx- oder Apache-Konfigurationen verwenden, sind die Dateien nicht zugänglich und nicht ausführbar“, so der Searchlight Sicherheitsexperte Tomais Williamson.
Problematisch wird es bei Abweichungen:
• Fehlende Zugriffsbeschränkungen auf „pub/media/custom_options“
• Entfernte „deny all“-Regeln in Serverkonfigurationen
• Aufgehobene Ausführungsbeschränkungen für PHP-Dateien
In solchen Fällen können hochgeladene Schaddateien nicht nur gespeichert, sondern auch ausgeführt werden – ein direkter Weg zur vollständigen Systemkompromittierung.
Patch verfügbar – aber noch nicht produktiv
Adobe hat bereits am 10. März 2026 einen Fix in Version 2.4.9-beta1 veröffentlicht. Allerdings steht dieser bislang nicht für produktive Systeme zur Verfügung. Bis dahin bleiben nur temporäre Schutzmaßnahmen:
• Zugriff auf das Verzeichnis „pub/media/custom_options/“ blockieren
• Systeme gezielt auf Webshells und Backdoors prüfen
• Serverkonfigurationen strikt nach Best Practices absichern
Der aktuelle Fall zeigt deutlich: Moderne Web-Technologien eröffnen nicht nur neue Möglichkeiten für Entwickler, sondern auch für Angreifer. WebRTC entwickelt sich damit vom Kommunikationswerkzeug zum ernstzunehmenden Risiko für die Websicherheit.