Aktiver Angriff auf Shop-System xt:Commerce
Angreifer nutzen die SicherheitslĂĽcke in einem Versionszweig des Online-Shop-Systems xt:Commerce aktiv aus, um an sensible Kundendaten zu gelangen. Wer den Hotfix noch nicht eingespielt hat, sollte dies jetzt schleunigst tun.
Die Sicherheitslücke in xt:Commerce Version 4.1.00 steht unter Beschuss und Angreifer lesen E-Mail-Adressen und Passwörter von Online-Shop-Kunden aus. Darüber hinaus sei es auch möglich, Daten von Admins abzugreifen, erklärte der Entdecker der Lücke Daniel Schumacher (IT-Consultant und Sicherheitsforscher) gegenüber heise Security. Speichert der Shop-Anbieter die Zahlungsdaten der Kunden auf dem Server, sind auch diese nicht sicher.
Nach der Entdeckung des Angriffs trat der Sicherheitsforscher umgehend mit xt:Commerce in Kontakt und informierte den Hersteller über die Sicherheitslücke. Dieser stellte prompt einen Patch in Aussicht und veröffentlichte den Hotfix zwei Tage später – allerdings ohne Informationen über die Natur der Lücke zu publizieren.
Den Ursprung der Schwachstelle führt der Sicherheitsforscher auf eine ungenügende Überprüfung von URL-Parametern zurück und so könne ein Angreifer via SQL-Injection Anfragen injizieren. Besonders prekär ist dabei, dass der Angriff dem Forscher zufolge ausführbar ist, ohne SQL-Fehler hervorzurufen. Zudem wurde die von ihm erfasste Attacke automatisiert via sqlmap durchgeführt und hat kaum Serverlast ausgelöst. Demnach ist es möglich, dass Shop-Betreiber gar nichts von einem Angriff mitbekommen. Erst ein Blick in die Logdateien verschafft in diesem Fall Gewissheit.
Mario Zanier, Geschäftsführer xt:Commerce, betont, dass ihm in diesem Kontext keine weiteren Angriffe bekannt sind. Zugleich grenzt er die Online-Shops, die noch auf die verwundbare Version 4.1.00 setzen, auf unter 500 ein. Zanier zufolge haben inzwischen alle anderen Shops auf die nicht von der Sicherheitslücke betroffenen Versionen 4.1.10 und 4.2.00 aktualisiert. Wie viele Shop-Betreiber den Hotfix eingespielt haben, ist indes nicht bekannt. Der Hotfix schließt dem Sicherheitsforscher zufolge die Lücke übrigens durch einen Typecast der URL-Parameter. Auch eine Aktualisierung auf die Version 4.1.10 und 4.2.00 soll Abhilfe schaffen.
Derzeit überprüfe xt:Commerce, ob noch ältere Versionen von der Sicherheitslücke betroffen sind und wie aktuelle Versionen auf abgewandelte Formen des Angriffes reagieren. Anschließend will der Hersteller die Kunden entsprechend informieren. Darüber hinaus stellt xt:Commerce ein Skript in Aussicht, das die Server-Logdateien von Online-Shops auf etwaige Angriffe auswerten soll. (des)