Möglicherweise Backdoor in CMS e107 [Update]
Die Entwickler des CMS haben zwar am Wochenende die Version 0.7.17 veröffentlicht, die eine kritische Lücke schließt, Analysen des Quellcodes zufolge steckt in dieser Version aber eine Backdoor.
- Daniel Bachfeld
Anwender des Content Management System e107 sollten in nächster Zeit ein wachsames Auge auf ihre Installation haben, denn die Gefahr eines Einbruchs durch Angreifer könnte gleich doppelt drohen. So haben die Entwickler zwar am Wochenende die Version 0.7.17 veröffentlicht, die eine kritische Lücke schließt, Berichten zufolge steckt in dieser Version aber eine Backdoor.
Laut einer Analyse des PHP-Quellcodes durch den Sicherheitsspezialisten Bogdan Calin von Acunetix taucht in der Datei class2.php die Zeile if(md5($_COOKIE['access-admin']) == "cf1afec15669cb96f09befb7d70f8bcb") auf, die ein statisches Cookie definiert. Zusätzlicher Code prüft, ob das Cookie übermittelt wurde und führt dann in POST-Requests übergebene Befehle des Angreifers in der Shell aus. Wie die Backdoor in den Quellcode gelangte, ist unklar. Bislang gibt es auch keine weitere Bestätigung des Fundes. Im CVS soll der Code nicht zu finden sein.
Möglicherweise wurde der Server der e017-Entwickler bereits über die vorhergehende Lücke kompromittiert, und die unbekannten Eindringlinge warteten nur darauf, bis die neue Version 0.7.17 auf dem Server zum Download bereitgestellt wurde. Möglicherweise wurde auch nur ein einzelner Download-Mirror kompromittiert. Eine Anfrage von heise Security an die Entwickler blieb bislang unbeantwortet.
Immerhin hatten die Entwickler das zum Download angebotene ZIP-Archiv der Version 0.7.17 zwischenzeitlich von ihrem Server entfernt. Mittlerweile funktioniert der Link zum Download wieder; er führt nun allerdings zu Sourceforge. In dem dort angebotenen ZIP-Archiv enthält die Datei class2.php die speziellen Einträge nicht. Anwender der Version 0.7.16 sollten auf diese Version wechseln. Anwender, die bereits Version 0.7.17 installiert haben, sollten prüfen, ob die Einträge in der Datei class2.php zu finden sind und diese entfernen.
Update: Offenbar ist der Webserver e107.org kompromittiert worden. Die Startseite enthält ein JavaScript, das versucht, Anwendern des Internet Explorer verschleierten Code unterzujubeln. Was der Code genau macht, müssen weitere Analysen zeigen. Anwender sollten ersteinmal eine großen Bogen um den Server des Projekts machen, bis der Server restauriert ist. (dab)
